악성코드

“아니, 여기가 아니었어?” 구글 광고 추적 기능을 악용한 악성코드 유포

  • 3월 25 2024
“아니, 여기가 아니었어?” 구글 광고 추적 기능을 악용한 악성코드 유포

AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 구글 광고 추적 기능을 활용하여 악성코드가 유포되고 있는 정황을 포착했다. 확인된 사례로 Notion, Slack 과 같이 많은 사람들이 사용하는 그룹웨어 설치 프로그램으로 위장한 악성코드가 유포됐다. 유포된 악성코드는 공격자의 서버로부터 악성 파일 및 페이로드를 다운로드하며, 확인된 파일 이름은 아래와 같다.

  • Notion_software_x64_.exe
  • Slack_software_x64_.exe
  • Trello_software_x64_.exe
  • GoodNotes_software_x64_32.exe

해당 유형의 악성코드는 주로 Inno Setup 인스톨러나 NSIS(Nullsoft Scriptable Install System) 인스톨러 형태로 유포되고 있다. 그 중 Notion_software_x64_.exe 파일은 최근까지 구글에서 “notion” 키워드 검색 시 사용자들에게 노출된 것으로 확인됐다.

공격자는 구글 광고의 추적 기능을 이용하여 사용자들이 보기에 정상 사이트로 접속하는 것처럼 보이도록 설정하였다.
구글 광고 추적 기능은 광고주가 외부 통계 사이트 주소를 삽입하여 사용자들의 접속 관련 데이터를 수집하고 통계에 활용할 수 있도록 한다. 아래 그림은 구글 광고 삽입 시 설정하는 최종 URL과 추적 템플릿 URL 예시이다.

아래 그림은 임의로 만든 광고 화면이다. 아래 그림에 보여지는 광고에는 추적 URL이 삽입돼 있는 상태이며, 사용자들에게는 보이지 않는 것을 확인할 수 있다. 사용자가 광고 배너 클릭 시 실제로는 사용자들에게 보이는 최종 URL이 아닌 추적 템플릿 URL로 접속한다.

본래 구글 광고의 추적 기능은 사용자 접속 통계 목적으로 활용하지만 공격자는 외부 통계 사이트 주소가 아닌 악성코드 유포지를 삽입하였다. 
현재는 공격자의 광고가 내려간 상태이며, 유포 당시 공격자의 광고 배너를 누르면 실제로는 아래의 주소로 접속하여 악성 파일을 다운로드 하도록 유도한다. 확인된 경유 주소 및 최종 연결 주소는 아래와 같다.

경유 주소

  1. hxxps://www.googleadservices[.]com/pagead/aclk?sa=L&ai=DChcSEwjvxY_g38yEAxX96RYFHbN_DHwYABAAGgJ0bA&ase=2&gclid=CjwKCAiArfauBhApEiwAeoB7qFTSv58y3yV4nTuE_ptW9t-YIT1-Y_jH70VIcuKX3qsNu9u5d2TplRoCKDwQAvD_BwE&ohost=www.google.com&cid=CAESVeD21RQt4fRwNUkcEV8_EYQ96OMpQS8F7ZevrgG_k_jZewow_akDRbQ3vK-L7r7Z7yVUCyf4YKpyZrJCjoIkJjEcGbU1LviHlcWC8x9hRsFbAGy8Sbc&sig=AOD64_3Ho3r-SX_3edPZOWfLXPSWeCY1SQ&q&nis=6&adurl&ved=2ahUKEwibkYng38yEAxWScPUHHRJlCjAQ0Qx6BAgFEAE
  2. hxxps://pantovawy.page[.]link/jdF1/?url=https://www.notion.so/pricing%3Fgad_source%3D1&id=8
  3. hxxps://cerisico[.]net/

최종 연결 주소

● hxxps://notione.my-apk[.]com

최종 접속된 페이지는 실제 협업 도구 페이지와 유사하게 제작되어 있으며, 사용자로 하여금 악성코드를 다운로드하고 실행하도록 유도한다.

실행된 악성코드는 textbin, tinyurl 과 같이 텍스트를 저장할 수 있는 웹 사이트를 이용하여 악성 페이로드의 주소에 접근한다. 공격자가 악성 페이로드 주소를 가져오기 위해 접근하는 URL은 아래와 같다.

  • hxxp://tinyurl[.]com/4jnvfsns
  • hxxp://tinyurl[.]com/4a3uxm6m
  • hxxps://textbin[.]net/raw/oumciccl6b
  • hxxp://tinyurl[.]com/mrx7263e

위의 주소에 접근하면 악성 페이로드 다운로드 주소를 응답으로 반환한다. 접속 시 응답으로 받아오는 악성 페이로드의 URL은 아래와 같다.

  • hxxps://slashidot[.]org/@abcDP.exe
  • hxxps://yogapets[.]xyz/@abcmse1.exe
  • hxxps://bookpool[.]org/@Base.exe
  • hxxp://birdarid[.]org/@abcDS.exe

위의 주소로부터 최종적으로 인포스틸러 유형의 Rhadamanthys 악성코드를 다운로드 받으며, 실행 시 %system32% 경로에 있는 윈도우 정상 파일에 악성코드를 인젝션하여 실행한다. 정상 파일에 의해 실행되기 때문에 사용자들은 악성코드의 동작을 인지하지 못하고 정보를 탈취 당할 수 있다.

인젝션 대상의 윈도우 정상 파일 (%system32% 경로)

● dialer.exe
● openwith.exe
● dllhost.exe
● rundll32.exe

이번 Rhadamanthys 악성코드 유포 사례에서는 구글 광고를 이용해 사용자들을 기만하는 것을 확인할 수 있었다. 구글 뿐만 아니라 통계 서비스를 위한 추적 기능이 제공되는 타 검색엔진 또한 공격자들의 악성코드 유포에 악용될 수 있다. 사용자는 광고에 표시된 주소가 아닌 접속했을 때 보이는 URL을 확인해야 한다.

[파일 진단]
Trojan/Win.Agent.C5595056 (2024.02.29.02)
Trojan/Win.Agent.C5592526 (2024.02.23.02)
Trojan/Win.Agent.C5594794 (2024.02.28.03)
Trojan/Win.Rhadamanthys.R636740 (2024.02.27.00)

[행위 진단]
Execution/MDP.Event.M4823

MD5

12b6229551fbb1dcb2823bc8b611300f
2498997ab3e66e24bc08d044e0ef4418
33aa3073d148816e9e8de0af4f84582e
55c310c0319260d798757557ab3bf636
9034cf58867961cde08a20cb1057c490
URL

http[:]//birdarid[.]org/@abcDS[.]exe
https[:]//alternativebehavioralconcepts[.]org/databack/notwin[.]php
https[:]//bookpool[.]org/@Base[.]exe
https[:]//cerisico[.]net/
https[:]//pantovawy[.]page[.]link/jdF1/?url=https[:]//www[.]notion[.]so/pricing?gad_source=1&id=8

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
Previous Post

Next Post