울지않는벌새 : Security, Movie & Society

텀블러(Tumblr)를 활용한 국내 광고 프로그램 배포 사례 (2015.3.18)

벌새::Analysis

네이버(Naver) 지식iN을 활용한 국내 광고 프로그램 배포 방식은 기존부터 블로그를 통해 소개한 적이 있었습니다.

최근 확인된 지식iN 질문과 답변을 이용하여 특정 파일을 다운로드하도록 하는 과정에서 해외 텀블러(Tumblr) 서비스를 활용하는 부분이 있기에 살펴보도록 하겠습니다.

 

압축 파일의 비밀번호 분실로 인해 암호 해제 프로그램에 대한 질문글(※ 광고 배포 조직이 질문글을 작성한 것으로 추정)에 대하여 "zip 암호 풀기"라는 링크(URL)가 포함된 답변글을 작성합니다.

해당 링크는 기존에 알려진 네이버 QR코드 주소(m.site.naver.com)를 활용하고 있으며, 이를 통해 다음과 같은 특정 네이버 블로그로 연결이 이루어집니다.

연결된 블로그 게시글에서는 ZIP 압축 파일의 비밀번호(암호)를 해제할 수 있는 파일을 다운로드할 수 있는 링크(URL)가 포함되어 있으며 이전과 동일하게 네이버 QR코드로 연결되어 있습니다.

  • h**p://m.site.naver.com/0bE**  h**p://skxkxkdmzkdk***.tumblr.com/#=24943 h**p://util***ia.com/activeDown/activeDown.php?seq=24943 h**p://www.***util.co.kr/dn.asp?pcode=1005&seq=24943 <RAR-Password-Recovery-Magic611375.exe>

네이버 QR코드로 연결되는 웹 사이트는 텀블러(Tumblr)의 특정 계정으로 내부에 숨어있는 스크립트를 이용하여 국내 자료실 서버에서 RAR-Password-Recovery-Magic611375.exe 파일<SHA-1 : 9ac30d96a823cebc7d7b7d08dab20c6c0dcddaf2 - AhnLab V3 365 Clinic : PUP/Win32.UtilTop.R66815, Norton : Download.Adware (VT : 16/57)>을 자동으로 다운로드하는 구조로 되어 있습니다.

"Postmedia Co.,Ltd" 디지털 서명이 포함된 해당 파일을 실행할 경우 파일 다운로드 창이 생성되어 사용자가 인지하기 어려운 좁은 영역에 17종의 광고 프로그램을 자동으로 설치하도록 구성되어 있습니다.

특히 사용자가 실행한 파일이 광고 설치 목적으로 제작된 것을 인지하고 닫기(X) 버튼을 클릭하여 종료할 경우 "파일을 다운로드 하지 못했습니다. 다운로드 후 종료하겠습니까?"라는 질문창을 생성하여 "예(Y)" 버튼을 클릭하도록 실수를 유발하고 있으므로 매우 주의해야 합니다.

 

■ 제휴 프로그램 설치 파일 진단 정보

  1. h**p://app.korean***word.com/INST/ELT10/wd_id08.exe (SHA-1 : c77884a6174316cff8fcb144bd14002afe5c6cd3) - AhnLab V3 365 Clinic : PUP/Win32.WinKeyword.R122104 (VT : 30/57)
  2. h**p://down.***widget.co.kr/download/Skywidget(smart)_h.exe (SHA-1 : e3416efcb24a8aa0f87629be93e7a26dfe5725f6) - AhnLab V3 365 Clinic : PUP/Win32.Enumerate.R37949 (VT : 32/50)
  3. h**p://file.target***word.co.kr/app/newiniweblink/P052/weblinkup.exe (SHA-1 : 247511ad51e8a34f98d68de92ee4ef0d452a8662) - AhnLab V3 365 Clinic : PUP/Win32.WebLink.R87398 (VT : 41/57)
  4. h**p://down.***doguide.com/setup_kid001_silent.exe (SHA-1 : e986c8c69857860a97f0a48f9aef07ad74aea341) - AhnLab V3 365 Clinic : PUP/Win32.WindoGuide (VT : 12/56)
  5. h**p://file.m*u*.co.kr/app/windowstab/WindowsTabSetup_utiltop.exe (SHA-1 : 7738a9849e642c99f76af98f6ada647f4b2a02ad) - AhnLab V3 365 Clinic : PUP/Win32.WindowsTap.C169475 (VT : 39/57)
  6. h**p://codebase.g**dcomms.co.kr/codebase/websetup/appis/WSLutiltop.exe (SHA-1 : 3e7f821bb5447338b17f009f1287c2834bf7285e) - AhnLab V3 365 Clinic : PUP/Win32.GoodComms.C164975 (VT : 2/57)
  7. h**p://smart***per.co.kr/update/setup_A001.exe (SHA-1 : 597a15763f5fd2efe6a747c6692195c1347a1762) - AhnLab V3 365 Clinic : PUP/Win32.UtilTop.C759858 (VT : 4/57)
  8. h**p://down.wise***support.com/down/adInstall_wms002.exe (SHA-1 : f588dac4c0700fbeda8003a22e3bfea69d685665) - AhnLab V3 365 Clinic : PUP/Win32.CloverPlus.R130331 (VT : 24/57)
  9. h**p://down.luc**tool.net/lucky07/luckyinstall.exe (SHA-1 : 5e132bbeec4182a511c60afe7465f6ec91cea3cb) - AhnLab V3 365 Clinic : PUP/Win32.LuckyTool.C578948 (VT : 9/57)
  10. h**p://**search.or.kr/aaa/windowadvertisement_codenemo06.exe (SHA-1 : acde106296a69b3c4bedc7a93d27a024c43aea7b) - AhnLab V3 365 Clinic : PUP/Win32.MulDrop.R106698 (VT : 34/57)
  11. h**p://down.sign***.co.kr/star/sMercury/signkey.exe (SHA-1 : e9990714873857cc79179d01c50aebf81bd68143) - AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.R82337 (VT : 16/57)
  12. h**p://sub.open***word.co.kr/opapp/postmedia1/app/download/openkeyword_silent.
    exe (SHA-1 : 6283db1fdd8d03533283c8af8c0dfb091cace7f2) - AhnLab V3 365 Clinic : Win-PUP/Helper.OpenKeyword.1163344 (VT : 28/57)
  13. h**p://util***.com/app/newtab.exe (SHA-1 : 58bcab4046dcd05fd8cb64d991035c53535a141e) - AhnLab V3 365 Clinic : PUP/Win32.StartPage.C759969 (VT : 1/57)
  14. h**p://setup.lnimarket***.co.kr/PccomSetup_313_Hide.exe (SHA-1 : b50cf6a63c125a4f2fec732d4051366407337103) - AhnLab V3 365 Clinic : PUP/Win32.PcCom.C759993 (VT : 20/57)
  15. h**p://util***.com/app/wuu/wuu_utiltop.exe (SHA-1 : ec8d6656606445d21befa9ce0cd0806cf73b6120) - Avira : Rkit/Agent.1124560 (VT : 10/57)
  16. h**p://down.***dosearch.com/setup_wsx001_silent.exe (SHA-1 : b312b5f42f31bffc002b1ae38af111b1619bdb52) - AhnLab V3 365 Clinic : PUP/Win32.WindowSearch.R124743 (VT : 5/57)
  17. h**p://partner.smarta**ess.kr/Setup_UT4.exe (SHA-1 : 1b84aee759458ff2e55b4bc2edf2b3e58e380305) - AhnLab V3 365 Clinic : PUP/Win32.EasyClean.C722473 (VT : 16/57)

그러므로 지식인, 블로그, 카페와 같은 신뢰할 수 없는 출처를 통해 파일 다운로드를 안내하는 경우에는 함부로 실행하는 일이 없도록 매우 주의하시기 바라며, 한 번의 클릭 실수로 인해 10여개 이상의 광고 프로그램이 설치될 수 있으며 설치된 이들 프로그램 중에서는 또 다른 광고 프로그램을 다수 추가 설치할 수 있다는 점도 명심하시기 바랍니다.