이메일을 통해 현재 가장 큰 피싱 캠페인 중 하나를 조사하게 되었습니다!
2026년 5월 2일
저자: Juan Mathews Rebello Santos
1. 요약
이 기술 보고서에는 상금 통지 및 보류 중인 금전 입금이 포함된 사기성 이메일을 받은 후 제가 수행한 법의학 조사가 기록되어 있습니다. 분석 결과, 국제적 규모로 피싱, 스케어웨어, 제휴 사기 캠페인을 운영하는 정교한 사이버 범죄 인프라가 밝혀졌습니다.
조사 중에 다음으로 구성된 리디렉션 체인을 확인했습니다.
- 사회 공학을 이용한 전자 스팸;
- Cloudflare Pages 인프라 남용;
- 콩고민주공화국 공무원의 헌신;
- 명령 및 제어 인프라(C2);
- 도메인 생성 알고리즘(DGA) 사용;
- 와일드카드 SSL 인증서;
- Impact Radius를 통해 Norton/Gen Digital 제휴 프로그램을 통해 수익을 창출할 수 있습니다.
이 작업은 높은 수준의 기술 전문성, 분석 방지 회피 및 악성 캠페인 자동화를 보여줍니다.
2. 조사의 출처
다음 주소로 명백히 위조된 이메일을 받은 후 조사가 시작되었습니다.
``텍스트 [email protected]
메시지의 제목은 다음과 같습니다.
``텍스트
상품 코드
이메일 내용에는 스팸 방지 필터를 방해하고 합법성을 높이기 위해 사용되는 전략인 재정적 긴급 메시지와 아랍어 텍스트가 혼합되어 있습니다.
확인된 발췌문:
``텍스트 당신의 이야기를 들어보세요. يرجى الاحتاظ بالكود للمراجعة عند السحب
대략적인 번역:
``텍스트
“콘테스트에 참여해 주셔서 감사합니다.
추첨 시 확인을 위해 코드를 보관해 주시기 바랍니다.”
이 메시지에는 다음과 같은 프로모션 코드도 포함되어 있습니다.
``텍스트 코드: 9132289937520370
그러나 이메일의 실제 목적은 사용자가 메시지 중간에 삽입된 악성 링크를 클릭하도록 속이는 것이었습니다.
``텍스트
⚠️ 긴급: $3,639.00 보증금이 보류 중입니다. 지금 확인하세요:
https://obs.regideso.cd/?8nqrpm
콘텐츠에는 개인화 및 합법성을 추가하기 위해 내 이메일 주소도 표시되었습니다.
``텍스트 [email protected]
분석에 따르면 이메일은 다음을 결합하여 구축되었습니다.
* 가짜 상;
* 재정적 긴급성;
* 외국어;
* 사회 공학;
* 그리고 사기를 부분적으로 은폐합니다.
피해자가 즉시 클릭하도록 유도하는 것이 목표였습니다.
---
# 3. 악성 리디렉션 체인
링크에 접속할 때:
``텍스트
https://obs.regideso.cd/?8nqrpm
해당 도메인은 작전 내에서 중간 중계 역할만 한다는 것을 확인했습니다.
조사 중에 관찰된 전체 흐름은 다음과 같습니다.
``텍스트 이메일 스팸 ↓ obs.regideso.cd ↓ 린넨-워프-강.pages.dev ↓ yandehyto.com의 임의 하위 도메인 ↓ 스케어웨어/피싱 최종 도메인
확인된 최종 목적지는 다음과 같습니다.
* `pelnoriva.shop`
* `baleiddiste.com`
* `phidatharacce.com`
이 아키텍처는 전문적인 인프라 난독화 체인을 보여주어 추적, 자동화된 차단 및 포렌식 분석을 어렵게 만듭니다.
---
# 4. 커밋된 릴레이 분석
도메인:
``텍스트
obs.regideso.cd
IP로 확인됨:
``텍스트 161.35.30.54
DigitalOcean 인프라에서 호스팅됩니다.
해당 자산은 콩고민주공화국의 공공 상수도 회사에 속한 것으로 보입니다.
* 레지데소 SA
웹 환경을 분석하는 동안 다음을 확인했습니다.
* 승인되지 않은 PHP 파일;
* 리디렉터 역할을 하는 스크립트;
* Laravel 환경 노출;
* 디버그 모드에서 작동하는 백엔드.
관찰된 파일:
* `info.php`
* `index.php`
절대 내부 서버 경로도 노출되었습니다.
``텍스트
C:\api-팩처\API-팩처\
이 정보의 노출은 Laravel 프레임워크의 심각한 강화 결함과 안전하지 않은 구성을 확인합니다.
5. 명령 및 통제 인프라(C2)
작업의 핵심은 다음과 같이 작동하는 서버에 중앙 집중화되었습니다.
- 중앙 리디렉터;
- 클릭 추적기;
- 수익화 게이트웨이;
- 및 캠페인 컨트롤러.
식별된 종점:
``텍스트 /click.php
---
# 6. 회피 기술
## 6.1 분석에 대한 클로킹
서버가 다음에 대해 활성 클로킹을 구현했음을 확인했습니다.
* 연구원;
* 자동화된 스캐너;
* 데이터센터 IP;
* `curl` 및 `Nmap`과 같은 도구.
의심스러운 환경을 감지하면 서버는 다음과 같이 응답했습니다.
``http
HTTP/1.1 302발견됨
위치: http://yahoo.com/
또는:
``http 위치: http://google.com/
이 기술은 악성 랜딩 페이지가 보안 시스템에 노출되는 것을 대폭 줄여줍니다.
---
## 6.2 DGA 및 와일드카드 DNS
조사 중에 도메인에서 와일드카드 DNS가 광범위하게 사용되는 것을 확인했습니다.
``텍스트
yandehyto.com
임의의 하위 도메인은 C2 서버로 올바르게 확인되었습니다.
확인된 예:
q5tzrz.yandehyto.comsj9k9f.yandehyto.comwhonou.yandehyto.com
이 기술을 사용하면 새 도메인을 등록할 필요 없이 URL을 무한하게 순환할 수 있습니다.
6.3 와일드카드 SSL 인증서
운영자는 Let's Encrypt에서 발급한 유효한 와일드카드 인증서를 사용했습니다.
``텍스트 *.yandehyto.com
이는 동적으로 생성된 모든 하위 도메인에 대해 유효한 HTTPS를 허용하여 사기의 신뢰성을 높였습니다.
---
# 7. 페이로드 스케어웨어 분석
리디렉션 후 피해자는 다음에서 호스팅되는 페이지로 리디렉션되었습니다.
* `pelnoriva.shop`
* `baleiddiste.com`
* `phidatharacce.com`
이 페이지는 다음 인터페이스를 시뮬레이션하는 악성 JavaScript를 실행했습니다.
* 맥아피 토탈 프로텍션
코드에는 다음과 같은 기능이 포함되어 있습니다.
``자바스크립트
start_circle진행()
가짜 바이러스 백신 검사를 시뮬레이션하고 존재하지 않는 위협을 표시했습니다.
Win32/Hoax.Renos.HX트로이 목마 IRC/Backdor.Sd.FRV
나는 또한 다음을 확인했습니다.
- FullScreen API 사용;
- 탐색 차단;
- 탭 포커스 캡처;
- 'onbeforeunload' 차단.
피해자가 즉시 바이러스 백신을 구매하도록 유도하는 심리적 압력을 조성하는 것이 목표였습니다.
8. 제휴사 사기
최종 수익 창출은 다음의 합법적인 페이지로의 리디렉션을 통해 이루어졌습니다.
노턴라이프락 젠 디지털
캠페인은 제휴 플랫폼을 남용했습니다.
- 충격 반경
발견된 식별자:
``텍스트 파트너 ID: 3076190 캠페인 ID: 4405
운영 모델은 스케어웨어로 인한 두려움을 금융 수수료로 전환했습니다.
---
# 9. 법의학적 증거
## HTTP 리디렉션
``http
HTTP/1.1 302 찾음
서버: nginx/1.28.0
날짜: 2026년 5월 1일 금요일 20:12:37 GMT
위치: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...
클로킹 감지:
``텍스트 [감지 발생] -> http://yahoo.com/으로 리디렉션
---
## SSL 인증서
``텍스트
깊이=0 CN = yandehyto.com
X509v3 주체 대체 이름:
DNS:*.yandehyto.com
DNS:yandehyto.com
발행자:
C = 미국
O = 암호화하자
CN = E7
10. 헌신 지표(IOC)
IP
161.35.30.54
도메인
smilingtooth.com.saobs.regideso.cdlinen-wharf-river.pages.devyandehyto.combaleiddiste.comphidatharacce.compelnoriva.shoppelnoriva.pelnoriva.shop
DGA 하위 도메인
q5tzrz.yandehyto.comsj9k9f.yandehyto.comwhonou.yandehyto.com
제휴 ID
``텍스트 Impact Radius 파트너 ID: 3076190 캠페인 ID: 4405 ````
11. 결론
수행된 전체 조사를 바탕으로 분석된 캠페인이 다음을 사용하여 매우 전문적인 사이버 범죄 활동을 나타낸다는 결론을 내렸습니다.
- 피싱;
- 스케어웨어;
- 클로킹;
- DGA;
- 합법적인 인프라의 남용;
- 제휴 사기;
- 및 손상된 타사 서버.
이번 작전은 다음과 같은 분야에서 강력한 기술적 역량을 보여줍니다.
- 분석 방지 회피;
- 사회 공학;
- 사기성 수익 창출;
- 캠페인 자동화;
- 및 인프라 은폐.
12. 신뢰할 수 있는 참조 및 URL 분석
다음은 위협 인텔리전스 플랫폼의 도메인 및 URL 분석을 입증하는 링크입니다.
바이러스토탈
- https://www.virustotal.com/gui/domain/obs.regideso.cd
- [https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1] (https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1)
- https://www.virustotal.com/gui/domain/linen-wharf-river.pages.dev
- https://www.virustotal.com/gui/domain/yandehyto.com
- https://www.virustotal.com/gui/search?query=q5tzrz.yandehyto.com
- https://www.virustotal.com/gui/search?query=sj9k9f.yandehyto.com
- https://www.virustotal.com/gui/search?query=whonou.yandehyto.com
- https://www.virustotal.com/gui/domain/baleiddiste.com
- https://www.virustotal.com/gui/domain/phidatharacce.com
- https://www.virustotal.com/gui/domain/pelnoriva.shop
- https://www.virustotal.com/gui/domain/pelnoriva.pelnoriva.shop
에일리언볼트 OTX
남용IPDB
센시스
- https://search.censys.io/search?resource=hosts&q=baleiddiste.com
- https://search.censys.io/search?resource=hosts&q=linen-wharf-river.pages.dev
- https://search.censys.io/search?resource=hosts&q=pelnoriva.pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=phidatharacce.com
- https://search.censys.io/search?resource=hosts&q=q5tzrz.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=sj9k9f.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=smilingtooth.com.sa
- https://search.censys.io/search?resource=hosts&q=whonou.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=yandehyto.com
보안트레일
- https://securitytrails.com/domain/baleiddiste.com
- https://securitytrails.com/domain/linen-wharf-river.pages.dev
- https://securitytrails.com/domain/pelnoriva.pelnoriva.shop
- https://securitytrails.com/domain/pelnoriva.shop
- https://securitytrails.com/domain/phidatharacce.com
- https://securitytrails.com/domain/q5tzrz.yandehyto.com
- https://securitytrails.com/domain/sj9k9f.yandehyto.com
- https://securitytrails.com/domain/smilingtooth.com.sa
- https://securitytrails.com/domain/whonou.yandehyto.com
- https://securitytrails.com/domain/yandehyto.com
urlscan.io
- https://urlscan.io/search/#baleiddiste.com
- https://urlscan.io/search/#linen-wharf-river.pages.dev
- https://urlscan.io/search/#pelnoriva.pelnoriva.shop
- https://urlscan.io/search/#pelnoriva.shop
- https://urlscan.io/search/#phidatharacce.com
- https://urlscan.io/search/#q5tzrz.yandehyto.com
- https://urlscan.io/search/#sj9k9f.yandehyto.com
- https://urlscan.io/search/#smilingtooth.com.sa
- https://urlscan.io/search/#whonou.yandehyto.com
- https://urlscan.io/search/#yandehyto.com
쇼단
- https://www.shodan.io/search?query=baleiddiste.com
- https://www.shodan.io/search?query=linen-wharf-river.pages.dev
- https://www.shodan.io/search?query=pelnoriva.pelnoriva.shop
- https://www.shodan.io/search?query=pelnoriva.shop
- https://www.shodan.io/search?query=phidatharacce.com
- https://www.shodan.io/search?query=q5tzrz.yandehyto.com
- https://www.shodan.io/search?query=sj9k9f.yandehyto.com
- https://www.shodan.io/search?query=smilingtooth.com.sa
- https://www.shodan.io/search?query=whonou.yandehyto.com
- https://www.shodan.io/search?query=yandehyto.com
참고: 악의적인 활동과 침해 징후는 이미 관련 당국에 보고되었습니다.