[메일 첨부 파일 / 악성 코드 분석 1편] Fedex 사후납부통관 세금 사칭 스팸 메일 분석 (feat. ChatGPT 이용한 악성 코드 분석)

 

스팸메일 + 악성코드 분석

 

 

최근 Fedex 사후납부통관 세금이라는 주제로 발송되고 있는

스팸메일에 대한 주의 및 분석을 해보려고 한다.

 

최근 국내에서 Aili Express, Temu 등 해외 쇼핑앱을 사용이 증가하며

이 같은 스팸메일 공격이 점차 증가하고 있다.

 

실제 Fedex를 사칭한 메일 사진-첨부파일도 있다

 

 

실제로, 나는 한번도 이와 유사한 스팸메일을 받은적이 없었지만

공교롭게도 알리익스프레스를 통해 물품을 구입하고 난 뒤부터

이런 스팸메일을 시도때도 없이 받고 있다.

 

그러니, 해외 사이트를 이용할 땐 내정보가 언제든 털릴 수 있다고

생각하는 것이 좋겠다.

 

 

자 그럼, 한번 저 메일을 샅샅이 파헤쳐 보자!

 

 

도메인, 첨부파일, 로고까지 3박자가 고루 갖쳐줘 있네!

 

일단 위 메일을 통해 속을 수 있는 가능성이 높은 이유는!

 

1. 알리, 테무 등 해외 직구로 물건을 구매한 이후 해당 메일이 전송된다는 점이다.

(사후통관비를 내라 어쩌라 라는 메일에 속기 좋다)

 

2. 메일의 도메인이 fedex.com이기 때문에 속기 좋다.

(물론 진짜 도메인이 아니다, 하지만 저렇게 보여지기 때문에 속기 좋다.)

 

3. 로고도 가져다 쓰기 때문에 속기 좋다.

(물론 퀄리티가 허접하지만 그래도 없는것 보단 그럴싸 하다)

 

메일의 내용은 어떨까?

주로 이런식이다, 1) 너가 해외 직구로 물건 구매한거 알고 있어

2) 금액이 저렴해서 빠른 배송을 위해 먼저 통관시켜 준거야

3) 그러니까 사후통관비를 내

4) 사후통관비는 첨부파일을 다운받아 메일주소로 로그인 하면 돼

 

 

메일 내용

안녕하세요, 사후납부통관 세금 안내입니다.
페덱스코리아는 고객님의 편의를 위하여 납부하실 세액이 당사에서 정한 범위 안에 있을 경우
세금납부 전에 먼저 물품을 배송해 드리는 납세 전 배송서비스(사후납부통관)를 제공하고 있습니다.
고객님께서는 첨부된 파일을 참조하시어, 명시된 기한 내에 세금을 납부하여 주시기 바랍니다.
기타 자세한 내용은 첨부된 안내문을 참조해 주시기 바랍니다.
감사합니다.


열심히 첨부파일을 다운로드 받아 열어보도록 안내하고 있다.
나름 그럴듯하게 작성하였지만~

물론 전부 가짜다!!!

 

그럼, 이번 스팸 메일의 가장 핵심인, 첨부파일을 한번 뜯어보자!

 

첨부파일이 Html파일이기 때문에,

html Text Editor를 사용하여 html파일의 구성 코드를 확인할 수 있다.

 

나는 해당 첨부파일을 다운로드 받은 후

Visual Studio를 통해 해당 Html파일의 코드를 열어보았다.

 

파일명: FedEx Pacakge Invoice Delivery.html
용량: 5,813 Byte
Hash(MD5): 8161140cc33a6e7e1bdf79356533f99

 

첨부된 파일의 코드 내용 중 일부

 

악성코드나 스팸사이트 분석을 위해서는 이렇게 해당 파일의

코드를 확보하는 것이 중요하다.

 

이렇게 코드에디터로 열어보니 해당 html의 구조와 기능을 확인할 수 있는데,

한번 살펴보면 

 

action="https://nocodeforXXXXXXXX0ee40b3297d772d45ad">

해당 도메인으로 입력한 값을 전송하라는 아주 질 나쁜 코드가 포함되어 있다

 

 해당 html파일의 전체 기능을 해석해 보면

 

1. html사이트에 접속하면, E-mail 주소와 Pw를 입력하라고 유도

2. 입력한 E-mail 정보와 PW정보를 해당 사이트로 전송하도록 코딩

 

즉, 사용자가 입력한 정보를 무단으로 전송/ 탈취하는 스팸 파일로 확인할 수 있다.

 

더 쉬운 방법은, Chat GPT를 이용하는 방법이다.

확보한 HTML 코드를 Chat GPT에 붙여넣고 코드 확인해 달라는 명령어만 날리면

아주 자~세하게 Chat GPT가 확인해 준다.

 

ChatGPT를 이용한 악성코드 분석

 

Chat GPT 답변: 

 

보이는 것처럼 Chat GPT가 아주 완벽하게 악성코드 분석을 해준다.

 

 

Fedex 사칭 스팸메일 주의

메일 내용:
안녕하세요, 사후납부통관 세금 안내입니다.
페덱스코리아는 고객님의 편의를 위하여 납부하실 세액이 당사에서 정한 범위 안에 있을 경우
세금납부 전에 먼저 물품을 배송해 드리는 납세 전 배송서비스(사후납부통관)를 제공하고 있습니다.
고객님께서는 첨부된 파일을 참조하시어, 명시된 기한 내에 세금을 납부하여 주시기 바랍니다.
기타 자세한 내용은 첨부된 안내문을 참조해 주시기 바랍니다.
감사합니다.

분석 결과:
첨부된 Html 파일 내 악성코드 포함.
주요 기능은 입력한 메일 계정 및 패스워드 정보 탈취