작년에도 국내에서 제작된 것으로 추정되는 네이버 계정 정보 수집을 목적으로 한 악성 파일이 존재하였으므로 참고하시기 바랍니다.
유포 방식은 특정 블로그에 네이버 카페 자동 덧글 프로그램으로 소개한 첨부 파일을 등록하여 다운로드를 유도하고 있습니다.
해당 첨부 파일(MD5 : 50e8f7ad97b8b165006ec9c2d7cbff52)은 nProtect 보안 제품에서 Trojan/W32.Agent.1013248.O (VirusTotal : 3/43) 진단명으로 진단되고 있습니다.
해당 파일이 실행되기 위한 조건으로 vb6ko.dll 파일이 필요하며, 최초 실행시에는 [환영합니다. 처음 실행하셨군요.]라는 메시지가 생성됩니다.
차후 실행시부터는 [저번에도 사용하신 적이 있으시네요. 환영합니다.]라는 메시지로 변경이 이루어지고 있습니다.
실행된 프로그램에서는 네이버 카페 덧글 작성을 위한 네이버 로그인 창이 존재하며, 실행과 동시에 사용자 PC의 바탕 화면에 내용이 존재하지 않는 comment.txt 문서가 생성됩니다.
먼저 네이버 계정에 아이디(ID)와 비밀번호를 입력하여 로그인을 시도하며, 계정 정보의 유효성 여부와 상관없이 로그인 성공 메시지가 생성됩니다.
하지만 실제로는 입력된 네이버 계정 정보는 나야나(Nayana) 호스팅에 등록된 특정 계정을 통해 최종적으로 유포자의 특정 네이버 계정으로 이메일 전송이 이루어지도록 제작되어 있는 것을 확인할 수 있습니다.
네이버 카페 덧글 등록과 관련된 부분을 확인해보면 최초 실행시 생성된 바탕 화면에 존재하는 comment.txt 문서에 임의로 위와 같은 문구를 입력하고 테스트를 진행하였습니다.
테스트에서는 추가적인 네이버 계정 로그인 및 카페 지정이 이루어지지 않은 관계로 런타임 오류 메시지가 생성되고 있습니다.
하지만 실제 네이버 카페 덧글에 포스팅을 위한 패킷 전송 부분을 확인해보면 사용자가 입력한 comment.txt 문서 내용과 함께 특정 Daum 블로그 게시물 링크가 포함되어 있는 것을 확인할 수 있습니다.(※ 해당 Daum 블로그 링크는 위에서 밝힌 해당 악성 파일이 등록된 게시물과 일치합니다.)
즉, 이를 통해 유추해보면 해당 파일을 실행하여 네이버 계정으로 로그인한 사용자는 실제 네이버 로그인이 이루어질 것으로 보이며 그 과정에서 외부로 네이버 계정 정보가 유출됩니다.
또한 네이버 카페를 표적으로 덧글 작성이 이루어질 수 있으며 그 과정에서 해당 악성 파일이 위치한 링크가 포함되어 또 다른 사람들에게 유포되었을 가능성이 존재합니다.
그러므로 인터넷 게시판 등을 통해 유포되는 이런 류의 자동화 프로그램 사용을 위해 함부로 자신의 계정 정보를 입력하는 일이 없도록 주의하시기 바랍니다.