lazarusholic

2025-09-19, Sakai
https://wezard4u.tistory.com/429601
#Kimsuky #Phishing

오늘도 위대하고 경애하는 박신 동지의 기운을 받아서 북한 김수키(Kimsuky) 에서 만든 피싱 메일인 2024년 귀속 종합소득세 가산세 안내(2025.9.16)에 대해 알아보겠습니다. 일단 해당 메일의 제목처럼 국세청 전자문서, 2024년 귀속 종합소득세 가산세 안내로 되어 있습니다.
이제는 그냥 그림 파일 으로 퉁 쳤음
새로운 전자문서가 도착했어요
발송기관:국세청
전자문서 종류:202년 귀속 종합소득세 가산세 안내
인증기한:2025-09-31 08:59까지
기한 내 열람하지 않으며 발송기관 정책에 따라 다른 수단(종이우편, SMS/LMS 등) 또는 다른채널(타사앱)로 발송됩니다.
확인하러 가기
로 이루어져 있습니다.
발신 도메인:ntsdigital(.)xyz
발송 경로:Titan Mail(Zoho 기반) 서버를 거쳐 이메일 발송
발신 IP:154(.)90(.)62(.)226
인증 결과:SP /DKIM PASS
여기서 Base 64로 피싱 메일 이 인코딩 된 것을 다시 풀어줘야 합니다.
Base64 디코딩 결과
<map name="dGp?cmJzZGg=">
<area target="_blank" shape="rect" coords="179, 317, 399, 366" href="hxxp://www(.)firstlove-rose(.)com/bbs/zipcode/?zpoq_xjo3i2as=d???cmJzZGg=" style="font: bold">
</map>
메일 수신자(????dh)에게 맞춤형 링크 포함 이메일 발송
수신자가 링크 클릭 시 다음 사이트로 이동
hxxp://www(.)firstlove-rose(.)com/bbs/zipcode/?zpoq_xjo3i2as=dG???mJz?Gg= 로 이동
해당 사이트는 블랙핑크 로제와 그녀의 팬들을 위해 특별히 디자인된 팬 사이트인 것을 확인할 수가 있었음
그런데 해당 사이트는 운영을 안 한지 몰라도 해당 사이트 털어서 이용한 것 같음
결론: 사이트 운영하시는 분들은 사이트 관리 잘하자~그리고 이메일 주소를 확인 잘하자~끝
'소프트웨어 팁 > …

http://www.firstlove-rose.com/bbs/zipcode/?zpoq_xjo3i2as=d???cmJzZGg=
http://www.firstlove-rose.com/bbs/zipcode/?zpoq_xjo3i2as=dG???mJz?Gg=