그런데, 또 다른 서든월핵으로 위장한 프로그램이 서든어택 계정 수집을 목적으로 네이버(Naver) 블로그를 통해 유포가 이루어지고 있는 것을 확인하였습니다.
해당 프로그램의 특징은 서든어택 계정 정보를 입력시 유포자의 네이버(Naver) 이메일로 전송하기 위하여 웹 로그인을 시도하는 과정에서 유포자의 네이버 아이디(ID)와 비밀번호(Password)가 노출되는 부분도 발견할 수 있었습니다.
유포 블로그에서는 서든핵으로 소개한 압축 첨부 파일을 다운로드하도록 제공하고 있으며, 내부에는 그림과 같은 4개의 파일로 구성되어 있습니다.
압축 파일 내부에는 3개의 dll 파일과 악의적인 exe 실행 파일(MD5 : 5382b6fe71e2da270b9bcce2bc2496e6)이 있으며. 해당 실행 파일은 (주)나우콤에서 서비스하는 세컨드라이브(2ndDrive) 아이콘으로 제작되어 있습니다.
먼저 해당 exe 실행 파일을 보면 네이버 웹 로그인을 통해 이메일로 전송하는 로직이 포함되어 있는 것을 확인할 수 있습니다.
참고로 분석 시점에서 실행 파일에 대하여 국내외 보안 제품에서는 진단이 전혀 이루어지지 않고 있습니다.
다음으로 3개의 dll 파일은 원래 Windows 7 시스템 폴더에 존재하는 특정 파일을 마치 핵 관련 파일로 파일명을 변경하여 추가하고 있는 것을 확인할 수 있습니다.
데미지증폭.dll (Microsoft DirectMusic Composer)
C:\Windows\System32\dmcompos.dll
무반.dll (Microsoft DirectMusic Band)
C:\Windows\System32\dmband.dll
월핵.dll (Disk Management Snap-in Dialogs)
C:\Windows\System32\dmdlgs.dll
해당 실행 파일이 실행되기 위한 조건으로는 반드시 vb6ko.dll 언어 파일이 OS에 설치되어 있어야 합니다.
실행된 파일은 사용환경 초기화 안내창 이후 서든어택 로그인 화면과 핵 적용 부분으로 구성되어 있으며, 사용자가 핵 적용을 위해 서든어택 계정 정보를 입력하고 로그인(Login)을 시도할 경우 정확한 정보 입력을 요구하는 입력창이 생성되는 것을 확인할 수 있었습니다.
POST /nidlogin.login HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Referer: https://nid.naver.com/nidlogin.login
Content-Length: 62
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: nid.naver.com
Connection: Keep-Alive
이런 과정에서 네이버 웹 로그인이 이루어지는 것을 확인할 수 있으며, 세부적인 분석을 하는 과정에서 다음과 같은 재미있는 부분을 확인할 수 있었습니다.
즉, 계정 수집을 위해 유포자의 네이버 계정 로그인 과정 중 자신의 아이디(ID)와 비밀번호(PW)가 평문으로 그대로 노출이 이루어지고 있습니다.
해당 핵 로그인 창에 입력된 서든어택 계정 정보는 유포자의 네이버 이메일에 전송이 이루어지며, 메일 본문(MailBody)에 아이디(ID)와 비밀번호(Password)가 포함되어 있는 것을 확인할 수 있습니다.
GET /777.txt HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: fb***.hosting.paran.com
Connection: Keep-Alive
사용자가 핵 프로그램을 종료할 경우에는 추가적으로 파란(Paran) 호스팅 계정을 통해 등록된 웹하드 관련 사이트가 노출되는 광고 행위를 확인할 수 있었습니다.
이번 핵 프로그램은 전형적인 서든어택 계정 수집용으로 핵 기능은 존재하지 않으며, 유포자는 자신의 네이버 계정 정보까지 노출하면서 타인의 계정 정보를 수집하는 웃지못할 파일을 유포하는 현실을 볼 수 있었습니다.