최근 국내 모 회사 홈 페이지에 악성 스크립트가 삽입되어 다른 사이트로 납치되어 구글 애드센스(Google AdSense) 광고 배너 클릭을 유도하는 사례가 확인되어 살펴보도록 하겠습니다.
문제의 사이트 메인 페이지 소스를 확인해보면 String.fromCharCode 함수를 사용하는 JavaScript가 포함되어 있는 것을 확인할 수 있으며, 해당 코드를 복호화해보면 .tk 도메인을 사용하는 웹 사이트로 연결하도록 구성되어 있음을 알 수 있습니다.
연결된 웹 페이지에서는 qwerty33= 쿠키값 체크를 통해 반복 접속을 차단하고 있으며 추가적인 페이지(r.php)로 연결하도록 설정되어 있습니다.
이후 연결된 페이지에서는 새로운 도메인을 가진 특정 .tk 페이지로 연결을 시도하도록 구성되어 있습니다.
다시 연결된 페이지에서는 https 웹 서버로 구성된 .top 도메인을 가진 웹 사이트로 새로 고침(Refresh) 하도록 설정되어 있으며, 해당 페이지의 URL 주소는 접속 시마다 다양한 주소로 변경이 이루어질 수 있습니다.
최종적으로 연결되는 페이지는 picturesun.top 또는 picturesun.top 주소를 사용하는 웹 사이트이지만 내부 콘텐츠는 모두 동일한 것으로 보입니다.
사용자에게 최초 표시되는 웹 페이지는 위와 같은 다수의 콘텐츠와 구글 애드센스(Google AdSense) 광고 배너가 짧은 시간 동안 표시될 수 있습니다.
이후 동일한 웹 페이지 주소값인데 화면이 동일한 구글 애드센스(Google AdSense) 광고 배너와 새로운 화살표(CLICK HERE)만 표시되는 것을 볼 수 있습니다.
해당 페이지 소스를 확인해보면 MyFeaturedAds.js 스크립트를 불러오는 행위가 포함되어 있으며, 불러온 소스에서는 붉은색 화살표 파일(.gif)이 존재한 것을 알 수 있습니다.
또한 페이지 소스를 통해 구글 애드센스(Google AdSense) 광고 배너만 표시되도록 변경하는 방식이 기존에 표시되는 텍스트를 눈에 보이지 않는 색으로 변경 및 일부 레이아웃을 지워버리는 방식으로 동일한 웹 페이지에서 광고 배너만 표시되도록 한 것을 알 수 있었습니다.
해당 웹 페이지에 노출되는 구글 애드센스(Google AdSense) 광고 배너는 정상적인 웹 사이트를 해킹하여 리다이렉트를 유발하는 JavaScript 소스를 추가하여 몇 단계의 URL 주소를 경유하여 최종적으로 정상적인 웹 사이트처럼 구성한 페이지에서 광고 배너만 표시하는 방식으로 클릭을 유도하고 있습니다.
그러므로 웹 사이트 접속 시 자동으로 다른 웹 사이트 접속이 이루어질 경우에는 불필요한 클릭 행위를 하지 않도록 주의하시기 바랍니다.
참고로 ESET 보안 제품에서는 JS/Kryptik.CO 진단명으로 JavaScript 실행을 사전 차단하여 납치 행위가 이루어지지 않도록 보호하고 있음을 확인하였습니다.