지난 4월, 소후 사용자는 임금 보조금과 관련된 피싱 메일을 수신했다고 밝혔다. 이메일 첨부파일은 아래 그림과 같이 QR 코드가 포함된 문서로, 해당 QR 코드를 스캔하면 피싱 링크로 리다이렉션된다. 분석에 따르면 공격자가 사용한 발신 메일 주소는 이전에 피싱을 통해 얻은 실제 이메일 주소로 밝혀졌다.

이 같은 분석은 치안신의 추적 결과에 따른 것으로 공격 캠페인은 2021년 12월 말경에 시작된 것으로 추측된다. 공격 캠페인이 시작된 이후 약 6,000개의 도메인이 공격에 사용되었다. 현재까지도 피싱 캠페인은 여전히 진행중이며 공격자는 아직도 공격에 사용되는 시스템과 인프라를 업데이트하고 있다.

분석 결과 QR 코드를 스캔한 후 페이지에 들어가 휴대폰을 열어야 하는 것을 확인됐다. 피싱 페이지의 콘텐츠는 아래와 같이 “임금 보조금” 또는 “중국 국가 온라인 인증센터”를 사칭했다.

中 소후의 피싱 메일 기술 및 인프라 분석

 

[출처 : 中보안매체 / 5.25.]