PDF 형태로 유포되는 Phishing 악성코드 (URL 탐지 우회)

안랩 ASEC은 최근 피싱 공격에 사용되는 PDF 악성코드가 URL 탐지를 우회하는 방식으로 제작되어 유포 중인 것을 확인하였다. 

피싱(Phishing)이란, ‘private data’와 ‘fishing’의 합성어로서 사용자 스스로 개인 정보를 입력하도록 유도하여 갈취하는 공격이다. 이러한 피싱 공격에 사용되는 PDF 악성코드는 주로 자극적인 내용을 통해 사용자의 호기심을 유발하여 피싱 사이트로의 링크 클릭을 유도한다.

일반적인 PDF 뷰어 프로그램은 사용자가 링크를 클릭할 때, 아래의 사진과 같이 URL을 보여주고 해당 사이트에 대한 연결 여부를 묻는 메시지 박스를 팝업시킨다. 이러한 방식이 사용되기 때문에 PDF 파일 내부에는 피싱 사이트의 URL 문자열이 존재하게 된다.

최근 발견된 PDF 악성코드는 링크 클릭 시 다음과 같은 메시지 박스가 팝업된다. URL을 확인해 보면 일반적인 형태와는 다르게 10진수의 숫자 "1593507371"임을 확인할 수 있다.

실제 파일 상에서도 “hxxp://1593507371”과 같은 형태의 URL을 가지고 있다.

하지만 “허용” 버튼 클릭 시 실제 URL인 “hxxp://94.250.254.43/”으로 연결되며, 이후 다수의 피싱 사이트로 리다이렉트되는 것을 확인할 수 있다.

이것은 웹 브라우저가 일반적으로 사용되는 “점 - 10진수 표기법”(Dot-decimal notation)의 IP 주소 외에도 10진수 형태의 IP 주소도 지원하기 때문이다. 즉 “1593507371”을 Dot-decimal notation 표기법으로 변환할 경우 “94.250.254.43”이 되며 웹 브라우저는 “94.250.254.43”를 입력한 것과 동일하게 인식하기 때문에 URL “hxxp://1593507371”가 “hxxp://94.250.254.43/”를 입력한 것과 같은 결과를 가져오게 된다.

리다이렉트되는 피싱 사이트들의 목록으로는 다음과 같은 URL들이 있다.

- hxxps://real-your-girls1.com/?u=r8bk605&o=9fnt79w&m=1

- hxxp://r3.red123.ru/c/da57dc555e50572d?s1=13606&s2=119766&j1=1&j3=1

- hxxp://r2.red123.ru/?utm_source=5bcdf3f8d2f30

 

최근 유포되는 피싱 PDF 악성코드는 악성 URL에 의한 진단을 피하기 위해 실제 피싱 사이트 URL을 링크로 직접 사용하는 방식 대신, 해당 피싱 사이트로 리다이렉트 시켜 주는 서버의 IP 주소를 10진수 형태로 변환하여 사용한 후 유포하고 있다.

V3 제품에서는 피싱 기능을 갖는 악성 PDF 파일에 대해 아래와 같이 진단하고 있다.

-  PDF/Phishing