코인업체

링크 개체를 이용한 악성 한글문서(HWP) 주의 – 코인업체 사칭

ASEC 분석팀은 지난주 코인업체를 사칭한 악성 한글 문서 파일이 유포됨을 확인하였다. 한글 파일에는 특정 코인 업체의 운영 정책이 변경되어 해당 사항을 확인하도록 하는 내용이 담겨있다. 파일 실행 시 내부에 포함된 OLE 개체(EXE 실행파일)가 %temp%폴더에 생성된다. 파일명이 hanwordupdate.exe로 되어있어 사용자가 한글의 정상 파일로 착각할 수 있어 주의가 필요하다. 악성 한글문서 내용 파일 내부에는 개체를 실행하기 위해 링크가 포함된 도형이 존재하며, 특정 도형들은 페이지 전부를 덮고 있어 사용자가 어느 곳을 선택하여도 악성 파일의 링크를 실행하게 된다. 아래의 그림에서 빨간색으로 표시된 부분이 링크를…