# Bing 검색 "카카오톡" 상위 3개 결과가 전부 중국발 피싱 > Clean Markdown view of GeekNews topic #27712. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=27712](https://news.hada.io/topic?id=27712) - GeekNews Markdown: [https://news.hada.io/topic/27712.md](https://news.hada.io/topic/27712.md) - Type: news - Author: [lidar](https://news.hada.io/@lidar) - Published: 2026-03-22T02:34:28+09:00 - Updated: 2026-03-22T02:34:28+09:00 - Original source: [lidar.blog](https://lidar.blog/bing-kakaotalk-phishing-analysis/) - Points: 4 - Comments: 1 ## Topic Body ### Bing 검색 "카카오톡" 상위 3개 결과가 전부 중국발 피싱 Bing에서 "카카오톡" 검색 시 상위 3개(`apps-kakaocorp[.]com`, `apps-kakaotalk[.]com`, `pc-kakaotalk[.]com`)가 전부 피싱. 인프라 및 코드를 분석한 결과: - **필터링**: Referer+UA 없으면 500/403 반환 (직접 접속/자동 스캐너 회피) - **중국 인프라**: Tencent/DNSpod 등록, 51.la 분석, og:locale=zh-cn, 중국 텔레그램 계정 연결 - **등록**: 3개 도메인 1초 간격 배치 등록, 같은 /24 서브넷, TLS 같은 날 발급 - **악성코드**: .scr 위장 NSIS 인스톨러 → 관리자 권한 요청 → DcryptDll.dll로 페이로드 복호화 → AppData 드롭 - **배포**: 3개 도메인 모두 동일 Cloudflare CDN URL로 리다이렉트 (download.i96l6[.]top, Alibaba Cloud) 정작 진짜 카카오톡 공식 사이트는 4번째에 밀려나 있었음. Edge 기본 검색엔진이 Bing이라 설정 안 바꾼 사용자에겐 꽤나 큰 위협 #### 상세 내용 **탐지 회피 구조가 꽤 정교함.** 검색엔진 결과를 통해 유입된 사용자에게만 피싱 페이지를 노출하고, URL 직접 접속이나 자동 스캐너에는 빈 페이지를 반환함. 이로 인해 urlscan.io 등 공개 분석 서비스에서도 탐지가 되지 않으며, 사용자가 의심하고 URL을 직접 확인해도 아무것도 보이지 않아 신고로 이어지기 어려운 구조. **공격자 식별이 비교적 용이.** 소스코드에 51.la(중국 웹 분석) 추적 코드, `og:locale=zh-cn`, `/wenzhang/`(文章) 경로, 텔레그램 연락처 하드코딩 등 중국 출처를 가리키는 지표가 다수 존재. 도메인 등록은 Tencent/DNSpod, CDN은 Alibaba Cloud 경유. **3개 도메인이 사실상 하나의 오퍼레이션.** Registry Domain ID가 연번이고, 1초 간격 배치 등록, 동일 /24 서브넷, 동일 필터링 로직, 동일 다운로드 URL. SEO 다양성 확보를 위해 메타데이터만 변형한 템플릿 구조(`seo_templates/index/zd/kk_1/2/3/`)를 사용. **다운로드 경로에 세션 게이팅 적용.** `/download` 페이지 접속 → PHPSESSID 쿠키 발급 → `/download.php` 호출 시 302로 외부 CDN(`download.i96l6[.]top`)으로 리다이렉트. 쿠키 없이 download.php에 직접 접근하면 500 반환. **배포 파일은 .scr(스크린세이버) 확장자를 사용한 PE 실행파일.** NSIS v3.07 인스톨러로, 메타데이터를 "Kakao Corp. / KakaoTalk Setup"으로 위장. 관리자 권한을 요청하며, 내부에 런타임 복호화 DLL(`DcryptDll.dll`)과 WPS Office(Kingsoft) 컴포넌트가 번들링되어 있음. 정상 소프트웨어와 악성 페이로드를 동시에 설치하여 사용자의 의심을 낮추는 방식. ## Comments ### Comment 53524 - Author: heal9179 - Created: 2026-03-22T03:28:47+09:00 - Points: 1 SEO 포이즈닝..