본문 바로가기

벌새::Analysis

네이버 외부 위젯 서비스에 등록된 악성 위젯 주의 (2012.5.29)

반응형

이번 주말경부터 네이버(Naver) 블로그를 중심으로 해킹된 네이버 계정으로 추정되는 블로그에 다음(Daum) 위젯 뱅크에 등록된 특정 악성 위젯을 심는 방식으로 네이버 블로그 접속시 납치 행위를 하는 사례를 확인하였습니다.

 

우선 현재 네이버 블로그에서는 네이버 자체에서 제공하는 위젯 이외에 외부(위자드 팩토리, 다음 위젯 뱅크)에서 위젯을 불러올 수 있는 서비스를 베타(Beta) 테스트하고 있는 것으로 알고 있습니다.

 

이에 따라 외부에 노출된 네이버 계정 정보로 접속한 사이버 범죄자는 해당 계정 사용자가 운영하는 블로그 설정을 변경하여 사용자가 인지하지 못하는 위젯을 등록하여 해당 블로그 방문시 특정 블로그로 자동 납치를 하여 웹하드 광고 행위를 하고 있습니다.

 

특히 몰래 추가된 위젯은 1px 크기로 등록되어 눈으로 확인이 되지 않고 있으며, 접속 IP를 체크하여 재접속시에는 해당 납치 동작이 이루어지지 않는 것으로 추정됩니다. 

 

특정 네이버 블로그에 접속을 시도하면 해당 블로그의 경우 우측 사이드바 영역에 사용자가 등록한 위젯이 시각적으로 표시되고 있으며, 접속과 동시에 특정 블로그로 납치가 이루어집니다.

 

소스를 확인해보면 블로그 방문자 카운터(Counter) 하단에 "1px * 1px" 크기의 외부 위젯이 등록되어 있으며, 해당 위젯은 "ExternalWidgetIframe_1086293"라는 이름의 고유한 위젯 이름값을 가지고 있습니다.(※ 단, 실제 블로그에 등록된 위젯명은 다양하게 등록되는 것으로 보입니다.)

 

해당 정보를 바탕으로 어떻게 연결이 이루어지는지 여부와 어떤 수익 활동을 하는지 간단하게 살펴보도록 하겠습니다. 

접속시 연결 URL 정보를 살펴보면 악성 위젯이 등록된 특정 네이버 블로그 접속시 네이버 위젯(blog.naverblogwidget.com)을 체크하는 과정에서 외부 위젯 정보(ExternalWidgetRender)가 로딩되는 것을 확인할 수 있습니다.

 

해당 블로그의 경우 2개의 외부 위젯이 등록되어 있으며, 하나는 그림의 카운터(Counter) 상단에 위치한 그림 배너이며 또 다른 하나는 1px 크기의 악성 위젯(붉은색 체크)으로 접속자 눈에는 보이지 않고 있습니다. 

악성 위젯을 불러오는 외부 위젯 소스를 확인해보면 다음(Daum) 위젯 뱅크에 등록된 특정 위젯을 불러오는 스크립트를 확인할 수 있습니다. 

다음(Daum) 위젯 뱅크에 등록된 악성 위젯은 2012년 5월 16일 오전 9시 57분에 등록된 것으로 추정되며, 네이버 도메인을 모방한 "blog.kin-naver.com"으로 연결을 시도하여 최종적으로 구글(Google)에서 운영하는 BlogSpot의 특정 블로그로 연결을 하는 동작을 확인할 수 있습니다.

 

참고로 해당 도메인 정보를 확인해보면 2012년 5월 21일 가비아(Gabia)에 등록하여 카페24(Cafe24) 웹 호스팅을 통해 연결되고 있으며, 등록자는 부산(Busan)에 거주하는 것으로 추정되고 있습니다.

 

특히 등록된 이메일 주소가 네이버(Naver) 계정으로 나오는데 확인을 해보면 불법적으로 수집된 네이버 계정을 이용하여 각종 불법적 활동을 하는 조직의 흔적이 발견되고 있습니다. 

연결된 특정 BlogSpot 블로그에는 "무료 다운로드 사이트 베스트 10"이라는 이름으로 국내 웹하드 링크가 포함된 게시물을 노출시키고 있습니다. 

등록된 웹하드 한 곳으로 연결을 시도해보면 특정 파트너 아이디를 포함하여 접속이 이루어지며, 회원 가입 등의 조건을 만족시킬 경우 금전적 수익이 발생할 것으로 추정됩니다. 

그러므로 자신의 네이버 블로그에 접속을 할 경우 자동으로 웹하드 홍보 블로그로 납치가 이루어질 경우에는 블로그 관리 메뉴 중 "디자인 설정 → 레이아웃/위젯 설정" 메뉴를 클릭하여 "위젯 사용 설정"에 등록된 다양한 위젯 중 사용자가 등록하지 않은 위젯을 찾아 제거하시기 바랍니다.

 

또한 자신의 블로그에 해당 악성 위젯이 등록된 경우에는 네이버 계정 정보가 노출된 것이므로 반드시 비밀번호를 변경하시는 것도 잊지 마시기 바랍니다.

728x90
반응형