Home » 보안 » 스마트폰 » 20200603 CJ 대한통운 택배 스미싱, 난독화 및 패턴 변경 징조?

20200603 CJ 대한통운 택배 스미싱, 난독화 및 패턴 변경 징조?

Phishing, Smishing

 

스미싱 패턴, 갈수록 난독화 작업을 거쳐…

피해자에게 보내는 패턴은 똑같으나, 보안분석을 어렵게 한 패턴이 특징

 

2020년 06월 03일 최근 CJ대한통운 스미싱 문자를 보내는 것으로 잘 알려져 있는 #MoqHao 스미싱 조직이 최근 형태를 바꿔 분석을 어렵게 하는 난독화 패턴을 적용하였다.

 

아래와 같이 변경된 패턴을 참고하자.

 

 

 

스미싱 문자

20200603 스미싱
20200603 스미싱

 

송장번호 [566******6]미확인입니다 반송처리 하오니 주소 확인

 

이러한 문자 패턴은 과거에도 MoqHao 스미싱 조직이 지속적으로 유포했었던 패턴이다.

 

사이트에 접근하면 User-Agent 를 분석하여 Android / iOS 를 나누는것 까지는 동일한 패턴을 이용하는것을 확인했다.

 

다만, 웹사이트의 패턴이 난독화를 거쳐간점이 특징이다.

 

 

 

난독화된 html

난독화된 html
난독화된 html

 

StringFromCharCode 및 eval 함수를 통한 난독화 과정을 거쳤다.

이 부분에 대해서는 아래 pastebin 링크에 복호화 관련 내용을 작성했다.

 

20200603 MoqHao 스미싱 html 사이트 난독화 원본 및 복호화 정보 : https://pastebin.com/T5j3sQmx

 

 

 

 

악성앱

20200603 MoqHao 스미싱 악성앱
20200603 MoqHao 스미싱 악성앱
20200603 MoqHao 스미싱 악성앱
20200603 MoqHao 스미싱 악성앱

 

Virustotal : https://www.virustotal.com/gui/file/af10aaa85770ce430409fa25e25656ff5dfae152e50151c60324c8f38c35eb16/detection

 

 

최근 스미싱은 CJ 대한통운에서 Chrome 으로 다시 되돌아온것을 확인할 수 있었다.

 

 

 

사용자 주의사항

  1. 출처를 알 수 없는 문자의 링크는 함부로 방문하지 않는다.
  2. 최근에 실제로 택배를 시킨적이 있는지 확인해보고 의심가는 경우 접근하지 않도록 주의한다.

 

 

참고

다양한 형태의 문자로 수신되는 택배 배송 관련 스미싱 문자 주의! (20200601 UPDATE)

위로 스크롤