1q

[개요] 본 게시물은 이전 게시물[1]과 행위가 100% 동일한 공격이며, 미끼 문서만 다른 형식으로 변경한 것으로 확인됐습니다. 하지만, 둘 다 암호화폐 관련 내용이 주를 이루는 것이 공통점입니다. 과거 암호화폐 거래소 빗썸, 업비트를 타겟으로 공격한 사례도 있습니다. 이번 사례도 마찬가지로 비트코인 가격이 오르자 국내 암호화폐 거래소(Flybit)를 타겟으로 스피어피싱 공격을 수행하는 것을 볼 수 있습니다. ※ 본 샘플은 한글문서만 상이하며, 바이너리 분석내용은 이전 게시물[1]과 동일합니다. (Figure 1)은 공격자가 (Figure 2) 국내 암호화폐 거래소(flybit)에 전송한 메일 내용입니다. (Figure 3) 국내 "(주)GBSC" 회사메일로 "이현수"라는 발신인이 flybit 측에 입..

[개요] [1][2] 이전 게시물에서 분석한 내용과 유사한 공격이 지속적으로 발생하고 있습니다. 이번 공격에는 "[조회]비트코인 투자 카페 강퇴&활동정지"라는 내용의 한글문서가 유포됐습니다. (Figure 1) 비트코인 가격이 최근 상승[3]하는 것으로 보아 비트코인 관련 미끼 문서로 스피어피싱 공격이 이루어지는 것으로 추정되어 관계자 및 개인들의 주의가 필요할 것으로 보입니다. (Figure 2) Virustotal에서 해쉬값을 조회한 결과 3개의 국내 백신(V3, Alyac, Virobot)에서 탐지한 것으로 확인됐습니다. 유포된 한글문서의 내용(Figure 3)에는 비트코인 투자카페 신고관련 내용이 존재합니다. 해당 카페가 존재하는지 확인한 결과 (Figure 4) 실제로 운영되는 카페인 것으로 확..