최근 스팸(Spam) 블로그를 통해 국내에서 제작된 광고 프로그램을 유포하는 방식을 보던 중 네이버(Naver) QR코드 주소를 이용한 파일 다운로드 수법이 확인되어 과정을 살펴보았습니다.
이번에 확인된 블로그의 경우에는 한컴오피스 2010 체험판을 다운로드할 수 있다는 홍보글을 통해 마치 블로그에 첨부 파일이 등록된 것처럼 사용자 눈을 속이고 있습니다.
실제 블로그에 첨부 파일을 업로드할 경우 파일 아이콘이 생성되는데, 해당 유포 블로그에서는 그림 파일(exe.gif)을 통해 첨부 파일이 블로그에서 다운로드되는 것처럼 꼼꼼하게 작성되어 있습니다.
하지만 실제 파일(hoffice2010trial.exe) 링크는 네이버 QR코드에서 사용하는 주소(m.site.naver.com/qrcode)로 연결이 되며, 이를 통해 사용자가 링크를 클릭할 경우 다음과 같은 몇 단계의 주소(URL)를 거치게 됩니다.
h**p://m.site.naver.com/09fsa→ h**p://m.site.naver.com/qrcode/view.nhn?v=09fsa
최초 링크 클릭을 통해 연결되는 "m.site.naver.com/qrcode"는 QR코드 생성시 "링크로 바로 이동" 되도록 등록되어 있으며, 실제 확인된 사이트 주소(URL)를 통해 웹 브라우저에 입력할 경우에는 "[ 한컴오피스 2010 ] Hancom Office 2010 <br><br> 한글 2010, 한셀 2010, 한쇼 2010 효율적인 문서 작성 도우미" 검색어로 네이버(Naver) 통합 검색 결과 페이지로 연결되어 눈치채기 어렵습니다.
h**p://m.site.naver.com/qrcode/view.nhn?v=09fsa→ h**p://j.mp/1dpvckV
다음 단계에서는 해외 단축 URL 서비스로 유명한 bitly 주소(j.mp)로 연결되어, 추가적인 웹 서버로 연결되도록 구성되어 있습니다.
h**p://j.mp/1dpvckV→ h**p://ddfg.ilovesearch.kr/bbs/20131025/bbs_ptd9cu/q=29350
다음 단계에서는 다시 국내 "ddfg.ilovesearch.kr" 서버에 등록된 게시판(2013년 10월 25일 등록?)으로 연결이 이루어집니다.
h**p://ddfg.ilovesearch.kr/bbs/20131025/bbs_ptd9cu/q=29350→ h**p://www.winutil.co.kr/dn.asp?pcode=1006&seq=29350
이후 최종적으로 국내에서 운영되는 광고 프로그램 배포 목적의 파일 자료실 서버로 연결이 이루어집니다.
연결된 파일 자료실에 등록된 HOffice2010Trial_setup.exe 파일<SHA-1 : 758b4495252db859e05d250009b7884efde96845 - AhnLab V3 : PUP/Win32.UtilTop.R66815 (VT : 6/48)>을 자동으로 다운로드하여 사용자는 한컴오피스 2010 체험판 설치 파일로 착각하게 만들어 실행하도록 되어 있습니다.
실제로 위와 같이 국내외 웹 서버를 경유하여 복잡하게 이어지는 파일 다운로드 방식은 국내외 보안 제품에 포함된 웹 차단 기능을 우회할 목적이 강하며, 최초 블로그에 등록된 URL 주소가 네이버(Naver)로 등록되어 있어서 쉽게 차단하지 않는 점을 노린 것이 아닌가 생각됩니다.
이렇게 다운로드된 파일을 실행하면 위와 같은 파일 다운로더 창을 생성하며, 화면을 제대로 확인하지 않는 부주의한 사용자를 대상으로 화면의 좁은 영역에 등록된 10여종 이상의 제휴 프로그램을 대량으로 설치하여 정상적인 PC 사용을 방해하며 사용자 몰래 유포자 및 각종 제휴 프로그램 운영자는 돈벌이를 진행하게 됩니다.
그러므로 국내 블로그에서는 첨부 파일 또는 링크를 통한 파일 다운로드는 일체하지 않는 것이 가장 안전하며, 파일 실행시에는 추가적으로 설치되는 제휴 프로그램이 포함되어 있는지 화면을 꼼꼼하게 살피시기 바랍니다.(※ 일부 파일은 파일 다운로더 창이 생성되는 시점에서 자동으로 사용자 몰래 프로그램을 설치하는 경우도 많습니다.)