'오징어게임 다음시즌 캐스팅'을 위장한 피싱합법 토토 주의!

​

안녕하세요.ESRC(시큐리티대응센터)입니다.
한국의오징어게임넷플릭스드라마가전세계적으로인기를끌면서,오징어게임을사칭한악성합법 토토들도유포되고있습니다.

이번에ESRC에서는오징어게임시즌2의탤런트캐스팅일정이라는제목으로유포되고있는악성합법 토토을수집하였습니다.

해당합법 토토은"Squidgameupcomingseasonbackgroundtalentcastschedule"이라는합법 토토제목으로유포중이며,합법 토토에는"CastingInvite"라는제목의엑셀파일이첨부되어있습니다.

엑셀 파일을 열어보면 합법 토토 TALENT FORM이라는 이미지가 포함되어 있습니다. 공격자는 해당 이미지를 미리보기처럼 흐리게 보이도록 하여 사용자로 하여금 [콘텐츠 사용]을 클릭하도록 유도합니다.

하지만 사용자가 [콘텐츠 사용]을 눌러도 이미지는 동일하게 보이며, 사용자가 이미지를 자세히 보기위하여 해당 이미지를 클릭하면 [WRONG OFFICE VERSION]이라는 메세지가 뜨며 엑셀 합법 토토에 포함되어 있던 매크로가 실행되며 rtf 합법 토토을 내려받습니다.

매크로는 엑셀합법 토토에 숨겨져 있던 macro1이라는 시트에 저장되어 있으며, 해당 시트에 rtf 데이터가 포함되어 있습니다.

이렇게 내려받은 rtf 합법 토토은c:\ProgramData 폴더 하위에 excel 합법 토토명으로 내려받고 자동 실행합니다.

실행된 rtf 파일은 discordapp에 접속하여 추가 악성파일 다운로드를 시도합니다.

하지만 분석 시점에는 해당 합법 토토이 이미 삭제되어 추가로 내려받는 악성코드에 대해 분석을 할 수 없었습니다.

오징어 게임이 전 세계적으로 흥행을 하면서, 오징어 게임을 위장한 악성 합법 토토 및 파일들이 다수 유포중에 있습니다.

사용자 여러분들께서는 출처가 불분명한 사용자에게서 수신된 이합법 토토의 열람을 지양해 주시고, 꼭 필요한 경우를 제외하고는 문서 파일의 [콘텐츠 사용]을 비활성화 하시기 바랍니다.

현재 알약에서는 해당 악성코드에 대해Trojan.Downloader.XLS.Gen로 탐지중에 있습니다.