울지않는벌새 : Security, Movie & Society

언론사 Flash 광고 배너를 통한 악성 iframe 유포 사례 (2011.8.30)

벌새::Analysis
국내 언론 사이트에서 공식적으로 등록되어 있는 Flash 광고 배너 내부에 악성 iframe이 추가되어 있는 것을 확인하였습니다.


해당 사이트 접속시 우측 상단에 등록된 Flash 광고는 언론사에서 공식적으로 광고 계약을 통해 추가된 것으로 보입니다.

그런데 접속시 알약(ALYac) 보안 제품의 BitDefender 엔진을 통해 Trojan.SWF.IFrame.Gen (VirusTotal : 7/44) 진단명으로 휴리스틱 진단을 하고 있는 것을 확인할 수 있습니다.

해당 Flash 파일의 정확한 등록 URL 정보를 확인해보면 외부에 등록된 것이 아닌 언론사 서버에 등록되어 있는 것을 확인할 수 있습니다.

진단된 swf 파일을 확인해보면 자바스크립트(JavaScript) 내부에 iframe을 추가하여 국내 낚시 관련 사이트에 존재하는 1.htm 파일을 불러오는 것을 확인할 수 있습니다.(※ 현재 1.htm 파일은 존재하지 않습니다.)

해당 iframe에 추가된 소스를 통해 유추를 해보면 8월 중하순경 소비자가 만드는 신문에서 유포되었던 악성 스크립트와 URL 패턴이 유사한 것을 확인할 수 있습니다.

이번 사례와 같이 인터넷 사이트의 정상적인 광고 배너에 대한 관리가 철저하게 이루어지지 않으면 계속적인 유포 통로가 될 수 있는 것을 볼 수 있습니다.