슬랙 광고 클릭하면 설치되는 멀버타이징 공격... 리디렉션 기법 악용

2024-10-30 11:56
  • 카카오톡
  • 네이버 블로그
  • url
에이아이스페라, 멀버타이징 공격 기법 사용한 슬랙 악성광고 사례 분석 발표
악성 도메인 및 IP 주소 신속히 파악 및 차단, 광고 시스템 취약점 보완 노력 중요


[보안뉴스 김영명 기자] 최근 며칠간 슬랙(Slack)과 관련된 의심스러운 광고가 구글 검색 결과 상단에서 지속적으로 발견됐다. 이 광고는 겉보기에 합법적이고, 광고를 클릭해도 슬랙의 공식 사이트로 리디렉션되며, 악성 행위는 보이지 않았다. 다만 구글 광고 캠페인에서 확인할 수 있는 광고주와 추가 정보를 보면, 해당 광고주는 아시아(홍콩) 지역을 목표로 한다. 과거 구글 광고 캠페인과 비교하면 슬랙과 아무 관련이 없는 일반 광고 소재만 있는 것으로 보아 캠페인의 광고주 계정이 공격자에 의해 해킹당한 것으로 추정된다.


▲슬랙 멀버타이징 공격으로 노출된 구글 검색 결과 상단의 슬랙광고 화면[출처=Malwarebytes Labs]

최근 멀웨어바이츠 랩스(Malwarebytes Labs)가 멀버타이징(Malvertising) 공격기법을 사용한 슬랙(Slack) 악성 광고 사례에 대한 분석 보고서를 공개했다. 멀버타이징 공격이란 악성코드(Malware)와 광고(Advertising)를 합친 합성어다. 광고 캠페인을 악용해 사용자를 악성코드에 노출시키거나 악성 웹사이트로 보내는 공격 형태를 일컫는다. 일반적으로 멀버타이징 기법을 사용하는 공격자들은 슬랙과 같은 인기 있는 소프트웨어나 웹사이트를 표적으로 삼으며, 더 많은 피해자를 공격하기 위해 탐지 회피에 노력한다.

리디렉션 기법 악용해 사용자 의심 없애려는 전략 펼쳐
에이아이스페라(AI스페라)에 따르면 광고는 초기 공식 슬랙 사이트의 가격 페이지로 리디렉션됐다. 이때 공격자들은 일부러 악성 행위를 하지 않았으며, 광고를 소비하는 사용자들에게 의심을 없애려는 전략을 사용한다. 그 이후로는 광고의 내용이 바뀌면서 클릭 추적기 링크로 리디렉션되기 시작했다. 광고 링크에 클릭 추적기를 적용할 수 있는 것은 구글 광고의 알려진 취약점 중 하나로 공격자는 이를 악용해 사용자 트래픽을 원하는 도메인으로 보낼 수 있다.

결국 슬랙 악성 광고의 최종 도착 주소는 다른 인터넷 사이트로 변경됐는데, 이는 광고 캠페인이 발견된 날로부터 불과 일주일 전에 급조된 도메인이었다. 이 최종 URL에 도착한 사용자는 다운로드 버튼을 클릭할 때 공격자가 심어 놓은 악성 파일을 다운로드하게 된다.


▲슬랙 멀버타이징 공격에 사용된 광고의 최종 도착 URL 화면[출처=Malwarebytes Labs]

슬랙 멀버타이징 공격에서 발견된 침해지표 분석
분석된 슬랙 멀버타이징 공격 사례에서 발견된 침해지표(IoC)는 리디렉션 링크, 클로킹 도메인, 위장 사이트, 악성 파일 다운로드 도메인, 악성 파일 해시(SHA256) 등 다양했다. 이번 보고서에 언급된 IP 주소는 SecTopRAT이라는 원격 제어 트로이 목마가 사용한 서버였으며, 원격 연결 및 데이터 탈취 기능을 갖춘 것으로 알려졌다.

각 도메인의 역할을 살펴보면 ‘리디렉션 링크’는 사용자가 클릭했을 때 첫 번째 리디렉션을 담당하며, 그 이후 다른 리디렉션 층으로 연결된다. ‘클로킹 도메인’은 특정 조건에서만 악성 페이지를 사용자에게 보여준다. 위장 사이트는 디코이 사이트로 정상적인 콘텐츠를 보여주면서 공격자의 악성 페이지로의 변환 가능성을 숨긴다. 악성파일 다운로드 도메인은 최종으로 악성코드를 다운로드하는 역할을 한다.

멀버타이징 공격자의 주요 목표는 대부분 악성코드의 배포이며, 이를 통해 원격 제어 및 데이터 탈취를 수행하는데 있다. 보고서에 따르면 슬랙을 노린 멀버타이저는 구글 광고 플랫폼을 활용해 불특정 다수의 사용자를 대상으로 악성코드를 퍼뜨리고 있다.

에이아이스페라 분석팀은 “이 같은 멀버타이징 공격에 효과적으로 대응하기 위해서는 악성 도메인 및 IP 주소를 빠르게 파악해 차단하고, 광고 시스템의 취약점을 보완하는 것”이라며 “이러한 공격 사례는 멀버타이징의 위험성을 다시 한번 부각시키고 기업과 보안 전문가들은 지속적인 감시와 분석을 통해 새로운 위협에 대해 빠르게 대응할 필요가 있다”고 강조했다. 또한 “사용자들도 인터넷 창에 보이는 광고들을 클릭할 때는 항상 주의하고 의심스러운 링크로의 접속을 자제하는 것이 필요하다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기