본문 바로가기

벌새::Analysis

키릴 문자 도메인을 이용한 가짜 Adobe Flash Player 다운로드 주의 (2013.10.21)

최근 악성 URL 링크 주소가 포함된 스팸(Spam) 메일을 이용하여 가짜 Adobe 웹 사이트로 접속을 유도하여 악성 Adobe Flash Player 설치 파일을 다운로드하도록 하는 유포 행위가 확인되었습니다.

 

특히 가짜 Adobe 웹 사이트는 러시아(Russia) 국가 도메인으로 등록된 .рф 도메인 주소를 이용하는 개인적으로 처음보는 사례이기에 기록에 남깁니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 보안 카페의 철이님께 감사드립니다. )

수신된 스팸(Spam) 메일에는 텍스트는 존재하지 않으며 .com 주소로 이루어진 URL 링크를 통해 클릭을 유도하고 있습니다.

링크를 통해 연결된 웹 사이트는 러시아 언어로 제작된 가짜 Adobe Flash Player 웹 사이트로 연결이 이루어지며 그림과 같은 메시지 창을 생성합니다.

У вас устарел Flash Player.Обновите его чтобы устранить неверное отображение сайтов и подтормаживание компьютера

메시지 창의 대략적인 의미는 사용자 PC에 설치된 Adobe Flash Player 프로그램이 오래되었기 때문에 컴퓨터가 느려지고 부정확한 웹 사이트가 표시될 수 있으므로 웹 사이트에서 제공하는 Adobe Flash Player를 다운로드하라는 의미입니다.

 

그런데 접속한 웹 사이트 주소를 확인해보면 "**02.xn--p1ai/flash.php" 주소로 표시되어 있으며 변환된 주소의 원래 주소는 키릴 문자로 등록된 "**02.рф/flash.php" 주소임을 알 수 있습니다.

 

  <The Science Times> 러시아 첫 키릴 문자 도메인 탄생 (2010.5.16)

 

.рф 도메인 주소의 역사를 찾아보면 2009년경에 러시아에서 키릴 문자로 된 러시아 국가 도메인을 최초로 등록하였으며, 일명 국제화 도메인 네임(다국어 도메인, 자국어 도메인)이라고 불리는 다양한 문자로 이루어진 도메인 주소를 사용할 수 있도록 한데서 유래되었습니다.

가짜 Adobe Flash Player 웹 사이트에서 제공하는 설치 파일(flash_setup.exe)은 러시아 계열쪽 사용자를 표적으로 제작되었을 가능성이 높아보이며, 일반적인 도메인(.ru 등)이 아닌 특수한 주소로 인하여 웹 필터링 등을 우회할 수 있기 때문에 위와 같은 URL 주소를 이용하였으리라 추정됩니다.

현재 다운로드된 가짜 Adobe Flash Player 설치 파일(MD5 : 85048a7d59eaa52cec892ad273a0dfd0)에 대하여 AhnLab V3 보안 제품에서는 Spyware/Win32.Zbot.C200024 (VT : 38/48) 진단명으로 진단되고 있으며, 감염이 이루어진 경우 정보 유출 등의 피해가 발생할 수 있는 것 같습니다.

 

그러므로 해외에서 발송한 이메일의 링크를 통해 웹 사이트에 호기심을 가지고 접속하는 일이 없도록 주의하시기 바라며, 항상 소프트웨어는 공식 홈 페이지를 확인하여 다운로드하는 습관을 가지시기 바랍니다.