스미싱 패턴, 갈수록 난독화 작업을 거쳐…
피해자에게 보내는 패턴은 똑같으나, 보안분석을 어렵게 한 패턴이 특징
2020년 06월 03일 최근 CJ대한통운 스미싱 문자를 보내는 것으로 잘 알려져 있는 #MoqHao 스미싱 조직이 최근 형태를 바꿔 분석을 어렵게 하는 난독화 패턴을 적용하였다.
아래와 같이 변경된 패턴을 참고하자.
스미싱 문자
송장번호 [566******6]미확인입니다 반송처리 하오니 주소 확인
이러한 문자 패턴은 과거에도 MoqHao 스미싱 조직이 지속적으로 유포했었던 패턴이다.
사이트에 접근하면 User-Agent 를 분석하여 Android / iOS 를 나누는것 까지는 동일한 패턴을 이용하는것을 확인했다.
다만, 웹사이트의 패턴이 난독화를 거쳐간점이 특징이다.
난독화된 html
StringFromCharCode 및 eval 함수를 통한 난독화 과정을 거쳤다.
이 부분에 대해서는 아래 pastebin 링크에 복호화 관련 내용을 작성했다.
20200603 MoqHao 스미싱 html 사이트 난독화 원본 및 복호화 정보 : https://pastebin.com/T5j3sQmx
악성앱
Virustotal : https://www.virustotal.com/gui/file/af10aaa85770ce430409fa25e25656ff5dfae152e50151c60324c8f38c35eb16/detection
최근 스미싱은 CJ 대한통운에서 Chrome 으로 다시 되돌아온것을 확인할 수 있었다.
사용자 주의사항
- 출처를 알 수 없는 문자의 링크는 함부로 방문하지 않는다.
- 최근에 실제로 택배를 시킨적이 있는지 확인해보고 의심가는 경우 접근하지 않도록 주의한다.