지란지교시큐리티

발신자 : owa.alex@[수신자 도메인 주소].com
메일 제목 : Voice Message From Admin 5916

- 메일 본문 내용은 관리자(Admin)으로 전달 받은 음성 메시지가 존재한다고 알리며, 확인을 위해 링크 클릭을 유도
- 링크 클릭 시 Amazon Cloud URL 주소로 연결되어 최초 피싱 페이지를 확인할 수 있으며, 수신자 검증을 위해 메일 계정 정보를 요청
- 메일 수신자가 PW를 입력 후 로그인을 시도할 경우 JavaScript에서 수신자의 메일 주소 포맷과 패스워드 길이가 5글자보다 짧은지 검증을 수행하며,
  해당 조건이 충족되지 않으면 ID,PW가 올바르지 않음으로 안내하며 재 입력을 요청
-  조건에 충족될 경우 입력한 ID, PW, hido 값을 특정 URL로 비동기식으로 전달
- 전달된 PHP 확인 결과 hido 값이 1보다 작을 경우 'message':'Retype' 값을 반환되며 로그인 실패 메시지가 안내 되고
  메일 ID, PW 값을 특정 메일 수신자에게 발송하며 정보를 탈취
- 1보다 같거나 클 경우 'message':'Done' 값을 반환하며 로그인 성공 메시지 ID,PW 값을 특정 메일 수신자에게 발송하며 정보를 탈취
- 이후 수신자의 메일 도메인 주소로 리다이렉션을 수행 후 모든 행위를 종료


[참고사항]
 - 비슷한 유형의 메일이 수신된 경우, 해당 메일은 삭제하는 것을 권장
 - 사내 보안팀이나 보안담당자가 있는 경우 악성메일이 수신되었음을 신고
 - "악성코드 분석리포트"에 다운로드 경로 및 파일에 대한 상세 실행 과정이 포함되어 있음