스팸 프로그램은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 근거한 불법 프로그램 이다. ASEC 분석팀은 블로그를 통해 마케팅 프로그램으로 판매되고 있는 스팸 프로그램에 대해 포스팅 했었다. 오늘은 과거 소개했던 스팸 프로그램과 유사한 프로그램을 소개한다.
파일명이 Naver Blog Report Program.exe 로 수집된 파일은 과거 블로그를 통해 작성했던 스팸 프로그램과 동일한 C# 언어로 개발 되었다. 주요 기능으로는 키워드를 이용하여 특정 블로그에 대한 글을 검색하여 블로그 내용에 특정 URL이 존재할 경우 리스트에 추가 하여 신고한다.
위 내용만 보면 해당 기능들은 정상 프로그램의 기능처럼 볼 수 있다. 하지만 블로그 신고 프로그램은 웹페이지에서 스팸 메시지를 계속해서 보내는 등 악의적으로 사용되는 프로그램인 봇(Bot)을 차단하기 위해 만들어진 기술인 캡차(CAPTCHA)를 우회하기 위한 기능이 포함되어 있다. 이는 서비스 제공자가 정상적인 서비스를 제공하기 위한 기능을 의도적으로 우회하기 위한 것으로 볼 수 있다.
광고성 블로그 작성 스팸 프로그램의 기능은 특정 홈페이지에서 이미지를 받아와 자동으로 블로그 글을 작성하는 스팸 프로그램으로 자동 로그인 및 지속적인 스팸글 작성을 위한 IP 변경기능, ID 자동 로그인 등이 포함되어 있다. 동일하게 작성되는 문구로는 ‘설명 보러 가기’, ‘상세 설명 보기’ 등의 문구와 ‘파트너스 활동의 일환으로, 이에따른’ 문구가 포함되어 있다. 이와 같은 문구로 인해 [그림 4]의 우측 블로그 내용처럼 정상적인 광고성 또는 홍보성 게시물로 인지할 수도 있다. 하지만 해당 블로그 게시글은 위 프로그램으로 동일하게 작성되었음을 알 수 있다.
블로그 신고 프로그램의 블로그 내용 검색인 [그림 2]에 존재하는 주소 3개중 2개가 광고성 블로그 작성 스팸 프로그램에서 발견되었다. 현재는 URL주소 3곳 모두 접속이 불가능한 상태이다.
서비스 제공자가 웹페이지에서 스팸 메시지를 계속해서 보내는 등 악의적으로 사용되는 프로그램인 봇(Bot)을 차단하기 위해 만들어진 기술인 캡차(CAPTCHA)를 우회하여 특정 행위를 반복하는 행위는 정상적인 서비스 사용 방법이 아니다. 따라서 이와 같은 PUP성 프로그램 사용을 지양해야 한다.
[파일 진단]
– PUP/Win.Generic.C536347 (2022.11.16.01)
– PUP/Win.Generic.C534586 (2022.11.16.01)
– PUP/Win.Generic.C534663 (2022.11.16.03)
[IOC]
MD5
– b3388cafdb57f67064c72bbc55073d31
– c375da4840c1e5e585e4412c6a03570b
– 147ee47a3dceaeec0cb7ac7684837139
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보