본문 바로가기

벌새::Analysis

네이버 외부 위젯 서비스에 등록된 악성 위젯 주의 (2012.5.29)

이번 주말경부터 네이버(Naver) 블로그를 중심으로 해킹된 네이버 계정으로 추정되는 블로그에 다음(Daum) 위젯 뱅크에 등록된 특정 악성 위젯을 심는 방식으로 네이버 블로그 접속시 납치 행위를 하는 사례를 확인하였습니다.

 

우선 현재 네이버 블로그에서는 네이버 자체에서 제공하는 위젯 이외에 외부(위자드 팩토리, 다음 위젯 뱅크)에서 위젯을 불러올 수 있는 서비스를 베타(Beta) 테스트하고 있는 것으로 알고 있습니다.

 

이에 따라 외부에 노출된 네이버 계정 정보로 접속한 사이버 범죄자는 해당 계정 사용자가 운영하는 블로그 설정을 변경하여 사용자가 인지하지 못하는 위젯을 등록하여 해당 블로그 방문시 특정 블로그로 자동 납치를 하여 웹하드 광고 행위를 하고 있습니다.

 

특히 몰래 추가된 위젯은 1px 크기로 등록되어 눈으로 확인이 되지 않고 있으며, 접속 IP를 체크하여 재접속시에는 해당 납치 동작이 이루어지지 않는 것으로 추정됩니다. 

 

특정 네이버 블로그에 접속을 시도하면 해당 블로그의 경우 우측 사이드바 영역에 사용자가 등록한 위젯이 시각적으로 표시되고 있으며, 접속과 동시에 특정 블로그로 납치가 이루어집니다.

 

소스를 확인해보면 블로그 방문자 카운터(Counter) 하단에 "1px * 1px" 크기의 외부 위젯이 등록되어 있으며, 해당 위젯은 "ExternalWidgetIframe_1086293"라는 이름의 고유한 위젯 이름값을 가지고 있습니다.(※ 단, 실제 블로그에 등록된 위젯명은 다양하게 등록되는 것으로 보입니다.)

 

해당 정보를 바탕으로 어떻게 연결이 이루어지는지 여부와 어떤 수익 활동을 하는지 간단하게 살펴보도록 하겠습니다. 

접속시 연결 URL 정보를 살펴보면 악성 위젯이 등록된 특정 네이버 블로그 접속시 네이버 위젯(blog.naverblogwidget.com)을 체크하는 과정에서 외부 위젯 정보(ExternalWidgetRender)가 로딩되는 것을 확인할 수 있습니다.

 

해당 블로그의 경우 2개의 외부 위젯이 등록되어 있으며, 하나는 그림의 카운터(Counter) 상단에 위치한 그림 배너이며 또 다른 하나는 1px 크기의 악성 위젯(붉은색 체크)으로 접속자 눈에는 보이지 않고 있습니다. 

악성 위젯을 불러오는 외부 위젯 소스를 확인해보면 다음(Daum) 위젯 뱅크에 등록된 특정 위젯을 불러오는 스크립트를 확인할 수 있습니다. 

다음(Daum) 위젯 뱅크에 등록된 악성 위젯은 2012년 5월 16일 오전 9시 57분에 등록된 것으로 추정되며, 네이버 도메인을 모방한 "blog.kin-naver.com"으로 연결을 시도하여 최종적으로 구글(Google)에서 운영하는 BlogSpot의 특정 블로그로 연결을 하는 동작을 확인할 수 있습니다.

 

참고로 해당 도메인 정보를 확인해보면 2012년 5월 21일 가비아(Gabia)에 등록하여 카페24(Cafe24) 웹 호스팅을 통해 연결되고 있으며, 등록자는 부산(Busan)에 거주하는 것으로 추정되고 있습니다.

 

특히 등록된 이메일 주소가 네이버(Naver) 계정으로 나오는데 확인을 해보면 불법적으로 수집된 네이버 계정을 이용하여 각종 불법적 활동을 하는 조직의 흔적이 발견되고 있습니다. 

연결된 특정 BlogSpot 블로그에는 "무료 다운로드 사이트 베스트 10"이라는 이름으로 국내 웹하드 링크가 포함된 게시물을 노출시키고 있습니다. 

등록된 웹하드 한 곳으로 연결을 시도해보면 특정 파트너 아이디를 포함하여 접속이 이루어지며, 회원 가입 등의 조건을 만족시킬 경우 금전적 수익이 발생할 것으로 추정됩니다. 

그러므로 자신의 네이버 블로그에 접속을 할 경우 자동으로 웹하드 홍보 블로그로 납치가 이루어질 경우에는 블로그 관리 메뉴 중 "디자인 설정 → 레이아웃/위젯 설정" 메뉴를 클릭하여 "위젯 사용 설정"에 등록된 다양한 위젯 중 사용자가 등록하지 않은 위젯을 찾아 제거하시기 바랍니다.

 

또한 자신의 블로그에 해당 악성 위젯이 등록된 경우에는 네이버 계정 정보가 노출된 것이므로 반드시 비밀번호를 변경하시는 것도 잊지 마시기 바랍니다.

  • 납치태그를 끼워놓았군요.
    저도 검색으로 들어간 블로그가 저 사이트로 나오던데 아마 그 블로그가 해킹당한 계정이었나 봅니다.

  • 익명 2012.05.29 11:39 댓글주소 수정/삭제 댓글쓰기

    네이버 블로그를 쓰는데 자꾸 창이 넘어가서 뭔가 했더니 저런거였군요; 알려주신대로 쓰던 위젯을 없앴더니 정상으로 돌아왔네요. 감사드립니다ㅜㅜ

  • 가오 2012.05.30 19:50 댓글주소 수정/삭제 댓글쓰기

    저기 죄송한데 글의 의도는 좋았으나
    왜 제 배너가 여기에 쓰였는지요

    • 안녕하세요.

      해당 블로그 운영자신가 보군요. 글 작성시 배너 부분은 사이드바 영역 표시를 위해 노출을 했으며 대신 본인을 표시하는 글자 부분은 모자이크를 하였습니다.

      배너 노출이 맘에 안드시면 모자이크 처리를 더 하겠습니다.

      죄송합니다.

  • 가오 2012.05.30 22:08 댓글주소 수정/삭제 댓글쓰기

    처음에 이야기 들었을 땐
    악의적인 의도나 상업적인 목적으로 쓰이진 않았을까 걱정했는데
    이런 목적으로 쓰였다니 다행이네요. 글의 취지는 좋았어요
    그래도 다음부턴 이런 글 쓰실 땐 당사자에게 허락을 받으신 후
    글을 쓰셨으면 좋겠네요 감사합니다.