울지않는벌새 : Security, Movie & Society

군 입대를 빙자한 온라인 게임 계정 사기 (2011.8.13)

벌새::Analysis
예전부터 군 입대를 빙자하여 온라인 게임 계정을 무료로 공개한다는 방식으로 악성 파일 감염 또는 웹하드 가입을 유도하는 행위가 종종 있어 왔던 것으로 확인이 되고 있습니다.

악성 파일 감염의 경우 온라인 게임 상에서 군입대를 빙자하여 특정 블로그로 유도하여 첨부된 파일을 설치하도록 하거나 이메일을 통한 첨부 파일을 실행하도록 한 것으로 알고 있습니다.

이를 통하여 공격자는 감염된 사용자가 온라인 게임 접속시 원격 제어를 통한 아이템 탈취 행위가 있었습니다.

최근에는 다음과 같이 네이버(Naver) 쪽지를 통해 유사한 사기 행각을 벌이고 있는 것을 추가로 발견하여 정보를 공개합니다.

문제의 네이버 쪽지에서는 군 입대로 인하여 메이플스토리 온라인 게임 계정 정보를 자신의 네이버 블로그에 공개한다는 내용으로 유도를 하고 있습니다.

해당 네이버 블로그에서는 압축 파일로 구성된 첨부 파일이 등록되어 있으며, 게시자는 암호로 보호된 압축 파일 내부에 있는 "이거에요.txt" 문서 파일이 있음을 밝히고 있습니다.

해당 압축 파일 암호는 블로그 상에 공개된 암호를 이용하여 풀 수 있도록 하면서, 블로그 게시글에서는 마치 텍스트 문서가 깨지는 문제가 있다고 언급하며 실제로는 웹하드 링크를 통해 다운로드하도록 유도하고 있습니다.

압축 파일에 포함된 텍스트 문서를 확인해보면 고의적으로 깨진 문자로 만들어진 문서 파일이며, 유포자는 이를 통해 웹하드 접속을 유도할 목적으로 보입니다.

해당 웹하드 링크를 통해 접속을 할 경우 무료 다운로드를 위해 특정 웹하드 파트너 링크를 통한 회원 가입을 유도하여 돈벌이 행위를 하고 있습니다.

추가적으로 해당 웹하드 링크를 통해 접속하는 과정에서 [Domain ActiveX 가이드]라는 기능을 알 수 없는 ActiveX 설치창이 생성되는 것을 확인할 수 있습니다.

접속자가 해당 ActiveX를 설치하려고 시도할 경우 다운로드되는 설치 파일(MD5 : 4cd24902f423651d55ad8deb9b2908e2)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Dloadr (VirusTotal : 7/43) 진단명으로 진단되고 있습니다.

해당 악성코드는 기존의 JuneIP, SXGuide, Totoran 계열로 알려진 악성코드 시리즈로 사용자가 제대로 인지하지 못하는 과정에서 제휴(스폰서) 프로그램을 설치할 수 있습니다.

실제로 ActiveX 설치 과정을 살펴보면 Domain ActiveX Guide 창을 생성하여 사용자 눈에 제대로 보이지 않는 다수의 제휴(스폰서) 프로그램을 설치 유도하고 있습니다.

이런 류의 프로그램이 설치될 경우 사용자는 PC, 인터넷 사용시 다양한 불편함을 겪을 수 있으므로 주의하시기 바랍니다.

마지막으로 다수의 인터넷 사용자를 대상으로 하는 사기 행위를 통한 특정 서비스 회원 가입을 통한 돈벌이 행위에 당하지 않도록 주의하시기 바라며, 알 수 없는 첨부 파일 및 ActiveX를 설치하지 않도록 주의하시기 바랍니다.