13일의 금요일(Friday the 13th)을 이용한 해외 가짜 백신 유포

한국 시간은 이미 11월 14일로 넘어갔지만, 해외는 13일이 시작되는 시점으로 유명 공포 영화 시리즈 13일의 금요일(Friday the 13th)과 동일한 날짜가 되는 날이기도 합니다.

이런 이슈(Issue)를 이용하여 일반 인터넷 사용자들이 검색 사이트를 통해 검색할 경우를 고려한 BlackHat SEO(Search Engine Optimization) 기법을 통한 해외 가짜 백신 유포가 확인이 되었습니다.

• 국내 사이트를 통한 해외 가짜 백신 유포 사례

해당 유포 방식의 특징은 그림과 같이 검색 사이트를 통해 검색된 정보를 통한 접속시에 유포 사이트로 이동을 하며, 웹 브라우저의 주소창에 해당 검색 결과 도메인을 입력할 경우에는 일반적인 정상 사이트로 이동하도록 구성하고 있습니다.

이는 이전에 소개한 국내 검색 사이트를 통한 해외 가짜 백신 유포와 동일한 방식으로 점점 진화를 하는 것으로 보입니다.

주소창에 URL 주소를 입력하여 접속시 모습

그림과 같이 검색 사이트를 경유한 접속이 아닌 경우 사전에 유포자가 입력한 텍스트 단위가 출력되는 것을 확인할 수 있습니다.

검색 사이트에서 제시하는 링크를 통해 접속을 할 경우 그림과 같은 Internet Antivirus Pro라는 가짜 백신의 웹 스캐너(Web Scanner)를 통해 마치 사용자 컴퓨터 시스템이 악성코드에 감염된 것처럼 허위 정보를 출력하여 자동으로 파일을 다운로드하도록 구성되어 있습니다.

MD5 : 3407f816f5916db186794ccd782afa0e

최종 사용자에게 설치를 유도할 파일은 국내외 보안제품에서 진단하지 못하는 수준이며, 가상(VM) 환경에서 동작하지 않도록 분석을 방해하고 있습니다.

해당 검색 사이트가 등록된 시간이 4시간 이전에 등록된 것으로 보아 전형적인 사회공학적 유포 방식이며, 다수의 도메인과 변종을 통한 유포를 통해 실제 설치된 경우 허위 정보를 출력하여 금전 결제를 유도하는 행위가 있으므로 그림과 같은 사이트에 접속을 한 경우에는 다운로드되는 파일을 절대로 실행하지 마시기 바랍니다.

특히 허위 검사를 통해 파일 다운로드를 하는 과정에서 수시로 알림 메시지창을 출력하여 웹 브라우저를 사용자가 닫는 것을 방해하므로 주의가 요구됩니다.