도박 게임 사이트 접속 시 악성 파일 다운로드 사례

가끔 사행성 같은 도박 게임 사이트를 홍보하는 문자나 메일을 받은 적이 있으실텐데요. 오늘은 이런 사이트에 접속하면 자동으로 파일이 다운로드 되고, 이를 실행하면 악성코드에 감염되는 피해 사례가 있어서 이에 대해 설명드릴까 합니다. 대부분은 저런 홍보 문자나 메일을 그냥 무시할거라고 생각하지만 일확천금을 꿈꾸고 도박 사이트를 이용하시거나, 호기심에 접속하시는 분들도 계실텐데요. 오늘 말씀드리는 내용을 인지하시고 악성코드 감염으로 인한 피해를 입지 않으셨으면 좋겠습니다.

​

이전 글인 "웹사이트 주소 오타 시 랜섬웨어 감염 사례"에서는 드라이브 바이 다운로드(Drive-by Download) 취약점을 이용하여, 악성코드가 자동으로 다운로드 됨과 동시에 실행이 되어서 랜섬웨어에 감염된다고 설명드린적이 있었죠. 이 경우는 오래된 인터넷 익스플로러의 취약점을 이용했기 때문에 해당 버전이 패치된 최신 버전을 사용하면 대응 가능하다고 말씀드렸습니다. 하지만 이스트 시큐리티의 분석 리포트를 보면 이번 사례에서는 위와 같은 취약점으로 발생한 것이 아니라 HTML의 정상적인 기능을 악용한 것으로 보이는데 이에 대해 간단히 설명드려보죠.

​

HTML에서는 웹 페이지에 다른 웹 페이지를 삽입할 수 있는 'iframe' 태그를 지원합니다. 보통 자바스크립트 언어와 함께 새창을 띄우지 않고 파일을 다운로드 하는데 사용되며, 이는 지극히 정상적인 기능으로 분류할 수 있죠. 그래서 위에서 말씀드린 드라이브 바이 다운로드 취약점과 다르게, 도박 사이트에 접속한다고 해도 악성코드가 다운로드만 되고 실행은 되지 않습니다. 하지만 무심코 다운로드 된 파일을 눌러서 실행이 되면 추가적인 악성코드를 다운로드 받게 되는데 그러면 사용자 몰래 악성 행위를 수행할 수 있겠죠.

 

특정 도박 사이트에 접속하면 악성 파일이 자동 다운로드 된다

현재 최신 브라우저에서는 대부분 해당 취약점을 이용할 수 없기에 아마 해커들이 해당 웹 서버에 침투하여 iframe을 이용한 코드를 변조해 놓은 것으로 추측되는데요. 해커는 웹 브라우저에서 자동으로 다운로드 받아진 파일을 사용자가 누르는 실수를 하길 기대한 것으로 보입니다. 물론 구글 크롬 같은 경우에는 악성코드가 다운로드 되면 자체적으로 분석하여 악성 파일임을 사용자에게 알려주는 기능을 가지고 있지만, 최근 악성코드는 다양한 기법이 적용되서 이를 우회할 수도 있기 때문에 모르는 파일은 열지 않는 것이 좋겠죠. 오늘 말씀드린 케이스도 존재한다는 것을 인지하시고 조심하셨으면 합니다. 그러면 이번 글은 여기서 줄이도록 하죠. 감사합니다.