우연히 네이버(Naver) 블로그를 통해 배포가 이루어지고 있는 SMS 문자 테러 프로그램이 보여서 어떤 방식으로 공격이 이루어지는지 살펴보았습니다.
다운로드된 블로그 첨부 파일에는 "넌사람.exe" 파일((MD5 : b5b9747a53862b756c52b378fc026dd8)이 존재하며, 2012년 9월 23일경 제작된 것으로 추정됩니다.
파일을 실행하면 2종의 웹하드 홍보창이 노출되는 동작과 함께 다음과 같은 프로그램 창이 생성됩니다.
"넌사람 SMS"라는 이름으로 실행된 프로그램은 배포자가 운영하는 네이버(Naver) 블로그와 연결되며, 상단에는 휴대폰 번호를 입력하여 테러를 진행하도록 구성되어 있습니다.
테스트를 위해 임의의 숫자를 입력하여 "sms terror" 버튼을 클릭하면 일본(Japan) 웹 호스팅을 이용하는 불법 도박 서버에 지속적으로 POST 방식으로 전송하는 부분을 발견할 수 있습니다.(※ 해당 불법 도박 사이트 등록자는 국내인 주소가 버젓히 입력되어 있는 것이 특징입니다.)
전송되는 부분을 확인해보면 공격자가 입력한 휴대폰 번호를 기반으로 SMS 인증(/sms_auth.php) 요청을 하는 것을 확인할 수 있습니다.
참고로 "전송 실패 원인..."이라고 표시되는 이유는 비정상적인 번호를 입력하였기 때문이며, 실제 존재하는 휴대폰 번호를 입력하였다면 해당 불법 도박 사이트의 인증 번호가 반복적으로 전송될 것으로 보입니다.
실제 해당 불법 도박 사이트에 접속하여 휴대폰 인증 부분을 살펴보면 단순히 인증 번호만 전송하는 것이 아니라, 차후 입력된 번호를 이용하여 도박 홍보에 이용될 것으로 추정됩니다.
이런 행위로 인하여 피해자는 익명의 공격자로부터 반복적인 인증 번호 수신과 함께 불법 도박 스팸 문자에 시달릴 수 있을 것으로 보입니다.