Spam message analysis impersonating glu mobile 2D artist offer
서론
어느 날 (정확히는 2022년 6월 26일) 필자의 일러스트 투고 사이트 계정 DM으로 2D artist offer가 왔다.
bitly로 축약되어 offer 주체의 url을 확인할 수 없는 메시지였기에 수상하기도 하고 흥미가 생겨 조사해보았다. (이 글을 쓰는 시점에서는 삭제된 계정이어서 메시지 내용이 보이지 않아 이미지를 첨부할 수 없다)
유도 사이트 (telegra.ph)
먼저 축약된 bitly에서 유도되는 사이트는 아래의 telegra.ph사이트의 페이지이다.
telegra.ph는 메신저로 유명한 telegram에서 제작한 익명 블로그라고 한다. 딱 봐도 각종 불법 행위로 쓰이기 좋은 사이트.
glu mobile은 꽤나 인지도 있는 회사라고 할 수 있는데 이런 익명의 블로그를 빌어 offer 페이지를 만든다는 것 부터가 수상하다.
2022년 6월 5일에 최초 작성된 것으로 보이며 접속만으로는 문제가 없었다.
https://telegra.ph/Offer-for-you-06-04
Offer for you!
GLU Mobile is inviting you to collaborate in creating characters for our game “Disney Sorcerer's Arena”. As a 2D-artist you will create amazing and adorable characters for an interactive Disney game. Our players will fall in love with your characte
telegra.ph
위 telegra.ph 페이지 내용의 특징은 아래와 같다.
- 내용 중에 예시 작업물을 확인해보고 답신을 보내라는 내용이 있는데 연락 수단에 대한 이야기가 한마디도 없다
- 예시 작업물은 www.glu.com/examples 이름의 링크로 걸려있는데 내용물은 github repository 내부의 파일로 걸려있다
- 아래쪽 링크는 glu mobile 공식 홈페이지로 걸려있다
- 이 페이지를 계속 유지하면서 같은 내용의 다수 github 계정을 이용하여 유사시 링크를 변경한다
.rar 압축 파일 링크 사이트 (github)
github의 repository는 아래와 같이 구성되어 있다.
처음 확인했을때 github 계정은 GluMobiles라는 이름이었는데 지금은 이 계정이 삭제되고 GLUfiles로 대체되었다.
(진짜 glu mobile은 계정 이름이 GluMobile이며 비공개 repository를 가지고 있다)
https://github.com/GLUfiles/base1
GitHub - GLUfiles/base1
Contribute to GLUfiles/base1 development by creating an account on GitHub.
github.com
내용 중 github 페이지의 특징은 아래와 같다.
- 다른 계정도 readme.md 내용이 다를 뿐 내부 구성은 같다
- 계정주에 의해 새로 커밋이 되기도 한다
- 세 개의 rar 파일 중 Glu examples 파일을 링크한다
원래의 GluMobiles 계정은 어떤 유저가 fork하여 repository를 유지하고 있는데 이 유저의 페이지는 아래와 같다.
https://github.com/MikeTheDead/downloads
GitHub - MikeTheDead/downloads
Contribute to MikeTheDead/downloads development by creating an account on GitHub.
github.com
rar 파일
github의 rar 파일 특징은 아래와 같다.
- 비밀번호는 모두 111이고 파일 이름에 쓰여있다
- 내용물은 Glu examples라는 이름의 rar 파일인데 jpg, png 이미지 몇개와 1.1.scr파일 (windows screensaver 파일)로 이루어져 있다
여기에서 .scr 파일을 실행하지 말자. 이 파일이 스팸 메시지의 핵심이자 backdoor를 설치하는 실행파일이다.
첨부된 이미지는 아래와 같다.
대체로 출처를 알 수 없었으나 Glu mobile examples(Password 111).rar 파일과 Glu examples(Password 111).rar 파일은 아래 세개의 이미지와 1.1.scr 파일을 가지고 있다.
예를 들어 2.2.png 파일을 받으면 2.1.png 파일처럼 달라는 의미로 넣어둔 듯 하다.
언뜻 기괴한 느낌도 드는 그림
아래는 Photo examples(password 111).rar 파일인데 NFT 작가들의 이미지라는 공통점이 있다.
조사한 바에 의하면
달 이미지는 Hossein Zare라는 작가의 NFT 이미지이다.
https://linktr.ee/hosseinzare
@Hosseinzare | Linktree
Awards:Uk,Germany,China, Emirate... Featured by:vogue,Manototv, Philsophie,...
linktr.ee
여자 이미지는 Elena Paraskeva라는 작가의 이미지이다.
https://www.elenaparaskeva.com/5146502-about
About - Elena Paraskeva - Digital Camera Photographer Of The Year 2018/Nikon Photo Photographer Of The Year 2021
Leading Conceptual Portrait/Fashion Photographer
www.elenaparaskeva.com
사례
루리웹에 인증 글을 올린 사례가 있는듯 하다. 보니까 피해 사례도 있는 것 같다.
https://bbs.ruliweb.com/community/board/300143/read/57174130
해외 모바일게임사에서 계약 제안 왔네 | 유머 게시판 | 루리웹
구글 플레이에도 있는 서양식 미연시게임 제작사임.2d 아티스트 1년 프리랜서 계약인거같은데...
bbs.ruliweb.com
일본쪽 사례도 있는듯.
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10263805800
pixivのDMでなりすましメールってありますか?ディズニーソーサラーアリーナのイラストレータ
pixivのDMでなりすましメールってありますか?ディズニーソーサラーアリーナのイラストレーター?みたいな感じの招待でした。(1部のスクショを添付しておきます) DMでしかも英語でしたので
detail.chiebukuro.yahoo.co.jp
https://twitter.com/mii0317_/status/1540706340909113344?s=20&t=4eUlf3uxQyieV1TEhI0Mkw
트위터에서 즐기는 みぃ
“pixivで活動されている作家さんへ⚠️ こういうメッセージが届いたら絶対ファイルを開いてはいけません。私は幸い動作環境がiOSだったので無事ですが、Windowsだとウイルスに感染するみた
twitter.com
이 사례를 다룬 블로그도 있다.
https://fireflyframer.blog.jp/32359017.html
<危険>イラスト制作依頼でウイルス感染 NFT・pixivスパム : 無題なログ
イラストレーター、NFTデジタルアーティスト狙うイラスト制作依頼でコンピュータウイルス開いたマルウェア感染の手口、スクリーンセーバーscrファイルの正体。ピクシブのスパムメッセー
fireflyframer.blog.jp
마무리
scr 파일에 의한 공격은 2015년 언저리부터 보고되었는데 아직까지도 이를 이용한 사례가 발견되는 것을 보니 새삼 신기한 느낌도 든다.
계정에서 그림계정임을 추출하는 지표가 무엇이었는지는 사례를 더 봐야 유추할 수 있을 것 같다.
내부를 분석해보는건 귀찮아서 여기까지만..
'분석' 카테고리의 다른 글
| 보안을 공부하다 마주치는 서브컬쳐 요소들 (0) | 2022.02.05 |
|---|---|
| 라즈베리파이4와 HDMI 캡쳐카드를 이용한 스트리밍에 대하여 (0) | 2020.12.25 |