첨에 다들 네이버 들어가니까 저게 뜬다고 하길래 공유기DNS인줄 알았는데 입수된 정보를 본 결과, 사이트 모듈 변조로 확인이 되었다.




모듈이 설치되지 않았습니다. Flash.apk를 설치하신 후 다시 진행해주시기 바랍니다.



참고로 q.php에 접속할 경우 test.txt에 IP가 기록되고 원래 파일명은 flash.apk이다.



즉 해당 디렉토리 내에 아래의 파일들이 존재한다.



text.txt -> IP 기록용

flash.apk -> 악성 앱

q.php -> flash.apk을 (시간)_flash.apk으로 다운로드 & text.txt에 다운로드 IP 기록



Thanks to ViOLeT






Posted by Ec0nomist

현재 관련 파일이 대거 삭제된 상태인데 악성앱 다운 및 test.txt에 기록을 하는 q_notfee.php와 IP가 기록된 test_notfee.txt는 버젓이 살아있다.


* 스크린샷을 누른다는게 F5번을 눌러버려서.... 원래 폴더가 4~5개 정도 있었다.



Posted by Ec0nomist

네이버 관련해서 악성코드 뿌려대는건 몇 년간 써먹는 것 같은데 얘네들 정체가 뭔지 진짜 궁금하다. 다만 바이너리에서 도박 게임을 타켓으로 하는 점이 보인 이상. 평범한 일반인을 대상으로 '오타에 의한 접속' 등과 같은 피싱 공격은 아닌 것으로 사료된다. 


개인적인 생각으로는 도박 게임을 취급하는 성인(도박) PC방을 돌아다니면서 PC방 컴퓨터의 시작 페이지를 네이버와 비슷한 네이밍의 가짜 도메인으로 바꾸고, 악성코드 다운 및 실행을 우연히 혹은 유도하는 것으로 보여진다.



* 이번에 확인된 악성코드를 시간 관계상 대충 살펴보고 + 과거 기억을 되살려본 뒤에 작성한 내 주관적인 생각이니 틀릴 수도 있음.




https://www.virustotal.com/ko/file/d01434c1749a00469728c7c0c5865777d6d0bcc37f31a00bf5e2c2e540033d2f/analysis/

Posted by Ec0nomist