본문 바로가기

벌새::Analysis

카카오톡 PC 버전 금전 사기와 악성 파일 유포 (2011.7.11)

반응형
애플 아이폰과 안드로이드 스마트폰을 이용하여 무료로 문자 메시지를 주고 받을 수 있는 국내 카카오톡 서비스의 인기를 이용하여 최근 PC 버전용 카카오톡 출시를 이용한 금전 사기 행위가 있었다는 언론 보도가 있었습니다.

현재 문제의 사이트는 네이버 백과 사전으로 연결이 되고 있지만, 사기 행위를 할 당시에는 개인정보 입력과 유료 결제를 유도하였던 것으로 보입니다.

이에 카카오톡 PC 버전을 이용한 악의적인 인터넷 게시글이 있는지 확인하던 중, 특정 블로그에서 카카오톡 PC 버전 설치 파일로 위장한 다운로드를 제공하는 것을 확인하였습니다.

해당 블로그에서는 그림과 같이 PC 버전용 카카오톡 파일을 블로그에 첨부 파일 형태로 등록하여 다운로드를 하도록 유도하고 있습니다.

참고로 해당 설치 파일(MD5 : CEA29C3F8D2A61731F50B04452ED9EEC)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Adware/Win32.Gaba (VirusTotal : 23/43) 진단명으로 진단되고 있습니다.

해당 첨부 파일을 실행하면 국내에서 흔히 볼 수 있는 파일 다운로드 창이 생성되며, 카카오톡 PC 버전을 다운로드할 수 있도록 구성되어 있는 것을 확인할 수 있습니다.

실제 해당 다운로드의 핵심은 하단에 위치한 제휴(스폰서) 프로그램으로 작은 공간에 목록을 배치하여 사용자가 제대로 체크 해제를 하지 않을 경우 다운로드 과정에서 자동으로 다수의 광고 프로그램이 설치될 수 있습니다.

[제휴(스폰서) 프로그램 정보]

1. 검색 도우미 : GuideOn (2011.4.14)
 - MD5 : 1c3fd5a6ebf83888e47048d81d71f4c6
 - Hauri ViRobot : Trojan.Win32.Fosniw.146528 (VirusTotal : 26/43)

2. 검색 도우미 : 위즈서치(WizSearch) - WizSearch Class (2011.4.6)
 - MD5 : 933551ae8d83499a24fdbb18f3e8e674
 - Hauri ViRobot : Trojan.Win32.Downloader.60928.BK (VirusTotal : 27/43)

3. 다운로드매니저 업데이트
 - MD5 : 841e291499b1c9d087e2ac7ae46c2db3
 - AhnLab V3 : Trojan/Win32.Dloadr (VirusTotal : 21/43)


해당 카카오톡 PC 버전을 실제로 다운로드를 할 경우 다운로드된 파일은 티스토리(Tistory) 특정 블로그에 등록된 Adobe Flash Player 10.2 설치 파일을 다운로드하는 것을 확인할 수 있었습니다.(※ 해당 오류 메시지는 Adobe Flash Player 최신 버전이 설치된 상태에서 실행하였기 때문에 표시되는 것으로 보입니다.)

추가로 다운로드 과정에서 생성된 파일을 통해 확인을 해보면 Adobe Flash Player 10.3 최신 버전을 다운로드하는 것처럼 구성되어 있지만, 해당 파일 역시 카카오톡 PC 버전과 동일한 파일로 확인이 되었습니다.

이처럼 이슈가 되는 소프트웨어를 이용하여 블로그 등 인터넷 게시판을 통해 다운로드하는 파일은 매우 주의할 필요가 있으며, 사용자가 제대로 인지하지 못하는 과정에서 설치된 프로그램은 차후 PC 이용시 다양한 불편을 야기할 수 있습니다.

728x90
반응형