[피싱 사이트 분석] 애플 사이트 사칭 피싱 사이트

오늘 나의 애플 계정을 복구하라는 메시지를 받았다 

누가 봐도 정상 애플 페이지가 아닌거 같은데....

함 들가나 보자!

오 언뜻보면 Apple 로그인 사이트 같이 생겼지만

url을 보면 전혀 다른 사이트라는 것을 알 수 있습니다.

 

피싱 사이트는 acpie[.]icu 로 초기 접근 url(psce[.]pw/83hd5b) 에서 리디렉션 

 

해당 피싱 사이트는 정보 수집을 위해 사용자 정보 입력을 유도

 

해당 사용자의 ip를 먼저 조회한 다음 해당 ip가 한국이면 해당 페이지로 보내고 아니면 

account.apple[.]com/sing-in 으로 보내 버리지만!

해당 페이지도 정상 사이트는 아니네요;;

 

vpn을 통해 접근하니 account.apple[.]com 페이지로 보내지는 모습을 볼 수 있습니다.

 

한문으로 한국을 매칭 시키고 주석 등 다량의 한문으로 작성된 글들이 있는걸 보아하니 

중국에서 만들어진 피싱페이지로 의심이 됩니다.

 

 

사용자 정보 입력 후 2차인증 입력도 유도하는 것 같습니다.

 

한국 ip만 선별하여 노출시켜 애플 ID, Password, 2차 인증 코드 탈취를 목적으로 

만들어진 피싱페이지입니다. 

입력된 정보는 wss://acpie.icu/WebSocket 으로 전송되는 것으로 보이며 

해당 페이지에 정보를 입력하는 행위는 금지! 

 

IOC

C2: wss://acpie[.]icu/WebSocket