울지않는벌새 : Security, Movie & Society

네이버 지식인 광고를 통한 해외 악성코드 유포 주의

벌새::Analysis
네이버(Naver)에서 서비스하는 지식인 서비스의 지식iN 광고 중에서 국내에서 제작된 악성코드 치료 프로그램 관련 광고 링크를 클릭할 경우 악성코드가 포함된 사이트로 연결되는 것을 확인하였습니다.


해당 악성코드 치료 프로그램 광고는 정상적으로 네이버에 유료 등록을 하여 특정 질문 게시물 하단에 노출이 되고 있는 상태입니다.


광고를 통해 접근된 사이트는 해당 프로그램 제작사 메인 페이지가 아닌 ActiveX 설치 방식을 통한 설치를 하도록 구성된 제작사 도메인의 광고 페이지로 연결되고 있습니다.


하지만 해당 광고 페이지 접속 로그(Log)를 확인해보면 그림과 같이 [http://*************.ru:8080/index.php] 도메인이 추가되어 있는 것을 확인할 수 있습니다.

해당 도메인의 패턴은 해외에서 취약한 사이트에 아이프레임(iframe) 방식으로 추가를 하여 악성코드를 유포하는 형태로 알려져 있습니다.

http://down.********.com/app/activex/********_act2.html?pid=nstar


특히 해당 프로그램 제작사 사이트 메인이 아닌 ActiveX 설치 광고 페이지에만 변조가 이루어져 배포가 되는 것을 확인할 수 있는데, 네이버와 같은 대규모 사용자에게 노출될 수 있는 광고인만큼 해당 제작사 뿐만 아니라 네이버측에서도 게시하는 광고 페이지에 대한 변조 여부를 체크해야 하지 않을까 생각됩니다.

이유는 해당 페이지는 다른 경로를 통해 노출되는 것이 아닌 네이버 광고(또는 타 포털 광고)용으로 따로 제작된 페이지이기 때문입니다.

현재 해당 악성 링크는 접속시 차단된 것으로 보이므로 실제 인터넷 사용자에게 피해를 주는 것으로 보이지 않지만 재활성화가 될 경우 보안상 취약한 사용자 컴퓨터를 감염시킬 수 있으므로 빠른 수정이 요구됩니다.