Bing 검색 "카카오톡" 상위 3개 결과가 전부 중국발 피싱

Bing 검색 "카카오톡" 상위 3개 결과가 전부 중국발 피싱

Bing에서 "카카오톡" 검색 시 상위 3개(apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com)가 전부 피싱. 인프라 및 코드를 분석한 결과:

• 필터링: Referer+UA 없으면 500/403 반환 (직접 접속/자동 스캐너 회피)
• 중국 인프라: Tencent/DNSpod 등록, 51.la 분석, og:locale=zh-cn, 중국 텔레그램 계정 연결
• 등록: 3개 도메인 1초 간격 배치 등록, 같은 /24 서브넷, TLS 같은 날 발급
• 악성코드: .scr 위장 NSIS 인스톨러 → 관리자 권한 요청 → DcryptDll.dll로 페이로드 복호화 → AppData 드롭
• 배포: 3개 도메인 모두 동일 Cloudflare CDN URL로 리다이렉트 (download.i96l6[.]top, Alibaba Cloud)

정작 진짜 카카오톡 공식 사이트는 4번째에 밀려나 있었음. Edge 기본 검색엔진이 Bing이라 설정 안 바꾼 사용자에겐 꽤나 큰 위협

상세 내용

탐지 회피 구조가 꽤 정교함. 검색엔진 결과를 통해 유입된 사용자에게만 피싱 페이지를 노출하고, URL 직접 접속이나 자동 스캐너에는 빈 페이지를 반환함. 이로 인해 urlscan.io 등 공개 분석 서비스에서도 탐지가 되지 않으며, 사용자가 의심하고 URL을 직접 확인해도 아무것도 보이지 않아 신고로 이어지기 어려운 구조.

공격자 식별이 비교적 용이. 소스코드에 51.la(중국 웹 분석) 추적 코드, og:locale=zh-cn, /wenzhang/(文章) 경로, 텔레그램 연락처 하드코딩 등 중국 출처를 가리키는 지표가 다수 존재. 도메인 등록은 Tencent/DNSpod, CDN은 Alibaba Cloud 경유.

3개 도메인이 사실상 하나의 오퍼레이션. Registry Domain ID가 연번이고, 1초 간격 배치 등록, 동일 /24 서브넷, 동일 필터링 로직, 동일 다운로드 URL. SEO 다양성 확보를 위해 메타데이터만 변형한 템플릿 구조(seo_templates/index/zd/kk_1/2/3/)를 사용.

다운로드 경로에 세션 게이팅 적용. /download 페이지 접속 → PHPSESSID 쿠키 발급 → /download.php 호출 시 302로 외부 CDN(download.i96l6[.]top)으로 리다이렉트. 쿠키 없이 download.php에 직접 접근하면 500 반환.

배포 파일은 .scr(스크린세이버) 확장자를 사용한 PE 실행파일. NSIS v3.07 인스톨러로, 메타데이터를 "Kakao Corp. / KakaoTalk Setup"으로 위장. 관리자 권한을 요청하며, 내부에 런타임 복호화 DLL(DcryptDll.dll)과 WPS Office(Kingsoft) 컴포넌트가 번들링되어 있음. 정상 소프트웨어와 악성 페이로드를 동시에 설치하여 사용자의 의심을 낮추는 방식.