올해 들어 CAPTCHA 화면이 있는 피싱 PDF 파일이 급격하게 대량 유포되고 있다. PDF 파일 실행 시 CAPTCHA 화면이 보이는데, 이는 실제 유효한 CAPTCHA는 아니다. 단순 이미지에 악성 주소로 리다이렉트 할 수 있는 링크가 연결되어 있다. 안랩 ASD 인프라에 수집된 관련 유형은 올해 7월 ~ 현재까지만 하더라도 약 150만 개이다. 대부분 국외 유포 위주로 보이고 이로 인한 국내 피해 건수는 높지 않은 것으로 보인다. 그동안 확인된 피싱 PDF 파일 유형은 화면 구성이나 동작 방식 등이 다양하였지만, 특정한 한 유형이 이렇게 대량으로 유포되는 것은 주목할 만하다.
화면 구성
대부분 1~3 페이지 구성의 PDF 파일이다. 첫 번째 페이지에는 가짜 CAPTCHA 화면이 있으며, 이미지 클릭 시 /URI 로 명시된 주소로 연결된다. URI 주소는 feedproxy, traff.ru 등 트래픽 리다이렉트 서비스로 연결된 주소이다. (트래픽 리다이렉션 서비스 전체 주소 목록은 하단의 IOC에 언급) 트래픽 리다이렉트 서비스는 리소스를 직접 호스팅하는 것이 아닌 사용자에게 목적지로 리다이렉션 서비스만 제공한다. 즉, 공격자는 악성 파일과 최종 악성 주소를 직접 연결할 필요 없이 리다이렉트 할 수 있기 때문에 최종 악성 주소는 계속해서 변경할 수 있다. 이러한 리다이렉션 방식은 최근 악성코드에서 자주 이용되고 있는 방식이다.
두 번째 페이지와 세 번째 페이지는 공격자가 PDF 문서를 자동으로 생성하는 과정에서 의도적으로 삽입한 것으로 보인다. 파일마다 각기 다른 무의미한 텍스트가 포함되어 있고, 다른 피싱 PDF 파일로 연결되는 온라인 링크가 있다. PDF 파일은 공통적으로 wkhtmltopdf 커맨드 라인 툴을 이용해서 제작된 것으로 추정된다.
악성 주소로 리다이렉트
공격자는 트래픽 리다이렉트 서비스를 이용하여 최종 목적지로 이동한다. PDF 파일을 바이너리로 보면 아래와 같이 /URI 리소스 항목에 CAPTCHA 이미지와 연결된 첫 번째 주소를 확인할 수 있다.
https[:]//feedproxy[.]google[.]com/~r/Uplcv/~3/S30rS-6n6vg/uplcv?utm_term=simple+launcher+for+elderly 주소는 아래와 같은 흐름으로 최종 목적지인 광고성 사이트로 이동한다. 각 주소에 Request에 대한 응답으로 그다음 주소를 Response로 받게 된다. 이 주소는 접속할 때마다 변경되며, 사용자의 IP, 국가, 접속 환경 등에 따라 응답 주소가 변경된다.
최종 목적지 주소는 광고성 Pop-up 사이트로 확인되었다. 이 외에도 브라우저 알림 기능이 있는 도박, 광고, 성인 사이트로 연결이 가능하였다. 또한 현재 Live 한 사례는 확인되지 않았지만, 공격자가 의도한 Trojan EXE 실행파일 페이로드를 다운로드할 수 있는 사이트나 악성 Chrome 확장 프로그램을 설치하는 사례도 확인되었다.
CAPTCHA 화면이 있는 피싱 PDF 파일은 공격자가 대량 제작하고 있기 때문에 그 유포 건수가 매우 높지만, 사용자의 클릭 등의 행위가 있어야 최종 악성 행위로 연결될 수 있다. 이 때문에 스팸 메일 등을 통해 관련 악성 파일이 확인되더라도 사용자가 주의를 기울이면 이후 피해를 예방할 수 있다.
파일 진단
Phishing/PDF.Malurl
Phishing/PDF.Malurl.XG4
Phishing/PDF.Malurl.XG5
Phishing/PDF.Malurl.XG6 외 다수
IOC
https[:]//ttraff[.]ru
http[:]//yughzlegelsmelne[.]scdd[.]ru
http[:]//yakutiaprime[.]ru
https[:]//vmkstroi[.]ru
http[:]//yughzlegelsmelne[.]scdd[.]ru
http[:]//yakutiaprime[.]ru
https[:]//irlanc[.]ru
http[:]//yughclewdenergy[.]scdd[.]ru
http[:]//acutecardio[.]ru
https[:]//pixomot[.]ru
https[:]//jumiwimov[.]ru
https[:]//oniceh[.]ru
https[:]//cctraff[.]ru
https[:]//mezovuduw[.]ru
https[:]//infrive[.]ru
https[:]//oniceh[.]ru
https[:]//seumenha[.]ru 외 다수
※ 위 주소는 트래픽 리다이렉션 주소로서, 이 자체가 악성 주소는 아님
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
104bb6aee51fd308bbf482827c85be83
73c0cb73f9c78c6ddc275dc474907d85
8009997b8ab566e62613570f4d506c78
88acc7e871d22666b8da72ba594524a2
aa19a69f6869db108b996de8fb3b7e39
ad7fbfc9e216fef21ecc2e74b0ab9ba2
b849a021bfe1bee16b8820e90ee82256
bfc460f729b1a07ce743b8cd31926a68
e51659ef7c9535ac6fe3f8388458e308
f7d5d7187fe6055bfc1036d3929b95d8
Categories:악성코드 정보