광고 배너 통한 악성링크 삽입, 애드웨어 업데이트 이용한 악성코드 유포
워드프레스 이용하는 홈페이지 대상으로 한 악성코드 유포 기승
[보안뉴스 김경애] 한 주간 광고 배너에서 악성링크가 발견됐으며, 애드워드 업데이트 기능을 악용한 파밍용 악성코드도 기승을 부렸다. 뿐만 아니라 워드프레스를 이용하는 홈페이지를 대상으로 한 악성코드도 활개를 쳤다.
워드프레스 홈페이지 대상 악성코드 유포
먼저 한 주간 워드프레스 이용자를 노린 악성코드 유포행위가 기승을 부렸다. 지난 30일경에는 워드프레스 기반 일부 홈페이지를 대상으로 악성코드 유포 정황이 포착됐다.
▲지난 30일 워드프레스 기반 홈페이지를 대상으로 한 악성코드 유포 정황 화면(출처: 제로서트)
이에 대해 제로서트 측은 “공격자는 변형된 악성스크립트를 이용해 악성스크립트를 ASCII 값으로 난독화했으며, 랜딩페이지에서는 MS 웹 브라우저인 인터넷 익스플로러 OLE 객체 취약점을 이용하기 위해 VBScript가 사용되고 있다”고 분석했다.
특히, URL 주소가 admedia 폴더명과 Twiue123이라는 ad_id값을 동일하게 사용하며 랜딩페이지는 Advertised 이름을 이용하고 있다.
이는 광고 페이지로 위장하기 위한 것으로 익스플로잇 킷 특성상 악성 URL 도메인은 주기적으로 변경되며, 해당 조건에 의해 랜딩페이지까지 실행되고 있는 것으로 분석됐다. 따라서 워드프레스 기반 홈페이지 이용시 각별히 주의할 필요가 있다.
애드웨어 업데이트 이용한 악성코드 유포
이어 파일을 다운로드 할 때 끼워팔기 형태로 설치되는 윈도우탭(WindowsTab) 애드웨어 업데이트를 악용한 악성코드 유포행위도 발견됐다.
▲지난 28일 분석된 애드웨어 업데이트(상)와 KRBanker 업데이트(하) 화면(출처: 잉카인터넷)
윈도우탭 애드웨어는 사용자가 원치 않아도 쇼핑몰 바로가기 등을 생성한다. 이는 애드웨어 업데이트 서버가 해킹될 경우, 애드웨어 자체의 업데이트 기능을 이용해 금융권 파밍 악성코드가 유포될 수 있다는 의미다.
잉카인터넷 측은 “애드웨어 업데이트를 이용해 유포된 k01922.exe는 windowstab.exe란 이름으로 다운로드되며, 윈도우탭이 설치된 동일 폴더에 생성된다”며 “실행 시 자신을 숨김 속성으로 변경한다. 또한 윈도우 정상프로세스 comp.exe를 이용해 위조 포털 사이트로 연결 및 인증서 유출 등의 악성 동작을 수행하게 된다”고 밝혔다.
악성 동작으로는 k01922.exe가 comp.exe 실행파일을 감염시켜 프록시 서버(Proxy Auto-Config, PAC)를 악용해 hosts 파일 수정 없이도 파밍 악성동작을 수행할 수 있게 된다. 특히, k01922.exe는 hosts파일을 수정하지 않고도, 위조된 웹 서버로 연결시키는데 이는 백신을 우회하기 위한 방식이다.
이어 위조 서버의 주소를 획득해 인터넷뱅킹 파밍으로 인증서를 유출한다. 인증서 유출은 PC의 하드디스크뿐만 아니라 이동식 저장장치(E 드라이브)에 저장된 인증서도 탈취될 수 있는 것으로 알려졌다.
애드웨어 윈도우탭은 사용자 PC에 기본적으로 자동실행 등록이 되어 있다. 업데이트를 이용해 파일을 바꿔치기한 파밍 악성코드는 힘들이지 않고 애드웨어 감염자를 모두 자신의 공격대상으로 삼을 수 있다.
악성파일은 시간대별로 다르게 업로드되어 유포되며, 대체로 오후 3시부터 7시 사이 악성코드가 업로드됐다가 사라지는 것으로 분석됐다. 유포하는 파일의 파일명과 크기는 조금씩 다르나 ad_25/k01922.exe가 업로드돼 있고, 애드웨어의 정기 업데이트 기능을 이용해 유포된다.
이에 대해 잉카인터넷 측은 “불특정 다수를 대상으로 무차별적으로 유포되는 애드웨어는 백신에서 진단하고 있지만 매번 실행파일을 바꿔가며 업데이트하기 때문에 최신 파일의 경우 진단되기까지 짧은 공백이 존재할 수 있다”며 “애드웨어는 사용자 환경에 보안 취약점이 존재하지 않아도 부지불식 간에 정상 제휴 프로그램처럼 설치돼 감염되기 쉽다”며 주의를 당부했다.
광고 배너 통한 악성링크 삽입 ‘기승’
1월 4째주 한 주간 광고 배너를 통한 악성링크도 기승을 부렸다. 최소 5곳 이상 웹사이트에서 2주 연속으로 악성링크가 포착됐으며, 주로 언론사, 파일공유(P2P), 포스(POS)단말기 사이트 등이 그 대상이다.
▲지난 22일 광고배너에서 악성링크가 발견된 스포츠XX 사이트(출처: 빛스캔)
이와 관련 지난 22일에는 스포츠XX 사이트 내부의 광고 페이지에 악성링크가 삽입되어 해당 시간에 방문하는 사용자에게 영향을 주었다. 광고 페이지를 통한 특정 악성링크 삽입은 지난 주부터 발견됐으며, 모바일과 PC 페이지에 관계없이 동일한 위치에서 지속적으로 삭제와 삽입이 반복됐다.
이에 대해 빛스캔(대표 문일준) 측은 “해당 악성링크가 공용으로 들어간 만큼 피해는 더욱 컸을 것으로 추정된다”며 “발견된 광고 배너에서 악성링크 연결시 유저 에이전트에 따라 다른 URL로 연결하는 것도 확인되었고, 최종 바이너리를 연결하는 과정에서는 레퍼러체크 기능도 있는 것으로 분석됐다”고 밝혔다. 또한, 현재 스포츠XX 외에도 많은 사이트들이 동일한 광고 배너를 사용하고 있어 적절한 대응이 이루어지지 않을 경우 지속적인 피해가 발생할 것으로 보인다고 우려했다.
기존 악성코드 유포지 재활용 공격
이외에도 한 주간 기존의 악성코드 유포지를 재활용한 공격도 끊이지 않고 발견됐다. 영화예매 사이트 등 성인사이트에 3주 연속 악성링크 삽입되는 등 집중적인 공격이 감행됐다. 바이너리는 동일한 파일이 다운로드됐다.
이와 관련 빛스캔 측은 “1월 4째주에는 신규 경유지와 전체 발견된 유포지가 2주 연속으로 감소했으며, 신규 경유지도 전주보다 약 31%가 감소했다”며 “하지만 사용자 방문이 많은 사이트에서 악성링크가 발견되는 등 파급력이 클 것”이라고 분석했다. 또한, 악성코드 활동 시간대는 오전보다는 오후부터 새벽까지가 가장 활발했다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
워드프레스 이용하는 홈페이지 대상으로 한 악성코드 유포 기승
[보안뉴스 김경애] 한 주간 광고 배너에서 악성링크가 발견됐으며, 애드워드 업데이트 기능을 악용한 파밍용 악성코드도 기승을 부렸다. 뿐만 아니라 워드프레스를 이용하는 홈페이지를 대상으로 한 악성코드도 활개를 쳤다.
워드프레스 홈페이지 대상 악성코드 유포
먼저 한 주간 워드프레스 이용자를 노린 악성코드 유포행위가 기승을 부렸다. 지난 30일경에는 워드프레스 기반 일부 홈페이지를 대상으로 악성코드 유포 정황이 포착됐다.
▲지난 30일 워드프레스 기반 홈페이지를 대상으로 한 악성코드 유포 정황 화면(출처: 제로서트)
이에 대해 제로서트 측은 “공격자는 변형된 악성스크립트를 이용해 악성스크립트를 ASCII 값으로 난독화했으며, 랜딩페이지에서는 MS 웹 브라우저인 인터넷 익스플로러 OLE 객체 취약점을 이용하기 위해 VBScript가 사용되고 있다”고 분석했다.
특히, URL 주소가 admedia 폴더명과 Twiue123이라는 ad_id값을 동일하게 사용하며 랜딩페이지는 Advertised 이름을 이용하고 있다.
이는 광고 페이지로 위장하기 위한 것으로 익스플로잇 킷 특성상 악성 URL 도메인은 주기적으로 변경되며, 해당 조건에 의해 랜딩페이지까지 실행되고 있는 것으로 분석됐다. 따라서 워드프레스 기반 홈페이지 이용시 각별히 주의할 필요가 있다.
애드웨어 업데이트 이용한 악성코드 유포
이어 파일을 다운로드 할 때 끼워팔기 형태로 설치되는 윈도우탭(WindowsTab) 애드웨어 업데이트를 악용한 악성코드 유포행위도 발견됐다.
▲지난 28일 분석된 애드웨어 업데이트(상)와 KRBanker 업데이트(하) 화면(출처: 잉카인터넷)
윈도우탭 애드웨어는 사용자가 원치 않아도 쇼핑몰 바로가기 등을 생성한다. 이는 애드웨어 업데이트 서버가 해킹될 경우, 애드웨어 자체의 업데이트 기능을 이용해 금융권 파밍 악성코드가 유포될 수 있다는 의미다.
잉카인터넷 측은 “애드웨어 업데이트를 이용해 유포된 k01922.exe는 windowstab.exe란 이름으로 다운로드되며, 윈도우탭이 설치된 동일 폴더에 생성된다”며 “실행 시 자신을 숨김 속성으로 변경한다. 또한 윈도우 정상프로세스 comp.exe를 이용해 위조 포털 사이트로 연결 및 인증서 유출 등의 악성 동작을 수행하게 된다”고 밝혔다.
악성 동작으로는 k01922.exe가 comp.exe 실행파일을 감염시켜 프록시 서버(Proxy Auto-Config, PAC)를 악용해 hosts 파일 수정 없이도 파밍 악성동작을 수행할 수 있게 된다. 특히, k01922.exe는 hosts파일을 수정하지 않고도, 위조된 웹 서버로 연결시키는데 이는 백신을 우회하기 위한 방식이다.
이어 위조 서버의 주소를 획득해 인터넷뱅킹 파밍으로 인증서를 유출한다. 인증서 유출은 PC의 하드디스크뿐만 아니라 이동식 저장장치(E 드라이브)에 저장된 인증서도 탈취될 수 있는 것으로 알려졌다.
애드웨어 윈도우탭은 사용자 PC에 기본적으로 자동실행 등록이 되어 있다. 업데이트를 이용해 파일을 바꿔치기한 파밍 악성코드는 힘들이지 않고 애드웨어 감염자를 모두 자신의 공격대상으로 삼을 수 있다.
악성파일은 시간대별로 다르게 업로드되어 유포되며, 대체로 오후 3시부터 7시 사이 악성코드가 업로드됐다가 사라지는 것으로 분석됐다. 유포하는 파일의 파일명과 크기는 조금씩 다르나 ad_25/k01922.exe가 업로드돼 있고, 애드웨어의 정기 업데이트 기능을 이용해 유포된다.
이에 대해 잉카인터넷 측은 “불특정 다수를 대상으로 무차별적으로 유포되는 애드웨어는 백신에서 진단하고 있지만 매번 실행파일을 바꿔가며 업데이트하기 때문에 최신 파일의 경우 진단되기까지 짧은 공백이 존재할 수 있다”며 “애드웨어는 사용자 환경에 보안 취약점이 존재하지 않아도 부지불식 간에 정상 제휴 프로그램처럼 설치돼 감염되기 쉽다”며 주의를 당부했다.
광고 배너 통한 악성링크 삽입 ‘기승’
1월 4째주 한 주간 광고 배너를 통한 악성링크도 기승을 부렸다. 최소 5곳 이상 웹사이트에서 2주 연속으로 악성링크가 포착됐으며, 주로 언론사, 파일공유(P2P), 포스(POS)단말기 사이트 등이 그 대상이다.
▲지난 22일 광고배너에서 악성링크가 발견된 스포츠XX 사이트(출처: 빛스캔)
이와 관련 지난 22일에는 스포츠XX 사이트 내부의 광고 페이지에 악성링크가 삽입되어 해당 시간에 방문하는 사용자에게 영향을 주었다. 광고 페이지를 통한 특정 악성링크 삽입은 지난 주부터 발견됐으며, 모바일과 PC 페이지에 관계없이 동일한 위치에서 지속적으로 삭제와 삽입이 반복됐다.
이에 대해 빛스캔(대표 문일준) 측은 “해당 악성링크가 공용으로 들어간 만큼 피해는 더욱 컸을 것으로 추정된다”며 “발견된 광고 배너에서 악성링크 연결시 유저 에이전트에 따라 다른 URL로 연결하는 것도 확인되었고, 최종 바이너리를 연결하는 과정에서는 레퍼러체크 기능도 있는 것으로 분석됐다”고 밝혔다. 또한, 현재 스포츠XX 외에도 많은 사이트들이 동일한 광고 배너를 사용하고 있어 적절한 대응이 이루어지지 않을 경우 지속적인 피해가 발생할 것으로 보인다고 우려했다.
기존 악성코드 유포지 재활용 공격
이외에도 한 주간 기존의 악성코드 유포지를 재활용한 공격도 끊이지 않고 발견됐다. 영화예매 사이트 등 성인사이트에 3주 연속 악성링크 삽입되는 등 집중적인 공격이 감행됐다. 바이너리는 동일한 파일이 다운로드됐다.
이와 관련 빛스캔 측은 “1월 4째주에는 신규 경유지와 전체 발견된 유포지가 2주 연속으로 감소했으며, 신규 경유지도 전주보다 약 31%가 감소했다”며 “하지만 사용자 방문이 많은 사이트에서 악성링크가 발견되는 등 파급력이 클 것”이라고 분석했다. 또한, 악성코드 활동 시간대는 오전보다는 오후부터 새벽까지가 가장 활발했다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
