'오징어게임 다음시즌 캐스팅'을 위장한 피싱토토 사이트 주의!
안녕하세요.ESRC(시큐리티대응센터)입니다.
한국의오징어게임넷플릭스드라마가전세계적으로인기를끌면서,오징어게임을사칭한악성토토 사이트들도유포되고있습니다.
이번에ESRC에서는오징어게임시즌2의탤런트캐스팅일정이라는제목으로유포되고있는악성토토 사이트을수집하였습니다.
해당토토 사이트은"Squidgameupcomingseasonbackgroundtalentcastschedule"이라는토토 사이트제목으로유포중이며,토토 사이트에는"CastingInvite"라는제목의엑셀파일이첨부되어있습니다.
엑셀 파일을 열어보면 오징어토토 사이트 TALENT FORM이라는 이미지가 포함되어 있습니다. 공격자는 해당 이미지를 미리보기처럼 흐리게 보이도록 하여 사용자로 하여금 [콘텐츠 사용]을 클릭하도록 유도합니다.
하지만 사용자가 [콘텐츠 사용]을 눌러도 이미지는 동일하게 보이며, 사용자가 이미지를 자세히 보기위하여 해당 이미지를 클릭하면 [WRONG OFFICE VERSION]이라는 메세지가 뜨며 엑셀 파일에 포함되어 있던 매크로가 실행되며 rtf 파일을 내려받습니다.
매크로는 엑셀파일에 숨겨져 있던 macro1이라는 시트에 저장되어 있으며, 해당 시트에 rtf 데이터가 포함되어 있습니다.
이렇게 내려받은 rtf 파일은c:\ProgramData 폴더 하위에 excel 파일명으로 내려받고 자동 실행합니다.
실행된 rtf 파일은 discordapp에 접속하여 추가 악성파일 다운로드를 시도합니다.
하지만 분석 시점에는 해당 파일이 이미 삭제되어 추가로 내려받는 악성코드에 대해 분석을 할 수 없었습니다.
오징어 게임이 전 세계적으로 흥행을 하면서, 오징어 게임을 위장한 악성 토토 사이트 및 파일들이 다수 유포중에 있습니다.
사용자 여러분들께서는 출처가 불분명한 사용자에게서 수신된 이토토 사이트의 열람을 지양해 주시고, 꼭 필요한 경우를 제외하고는 문서 파일의 [콘텐츠 사용]을 비활성화 하시기 바랍니다.
현재 알약에서는 해당 악성코드에 대해Trojan.Downloader.XLS.Gen로 탐지중에 있습니다.
