2024-03-29 15:05 (금)
해외 가짜 소프트피디아 자료실 통한 악성 프로그램 설치…피해 주의
상태바
해외 가짜 소프트피디아 자료실 통한 악성 프로그램 설치…피해 주의
  • 길민권
  • 승인 2014.06.08 22:23
이 기사를 공유합니다

다수 애드웨어 설치 및 가상 화폐 채굴 작업 등으로 피해 발생
해외 소프트웨어 정보 제공 및 파일 자료실로 유명한 Softpedia 웹 사이트로 위장한 페이지에 접속시 다운로드되는 파일을 통해 다수의 애드웨어(Adware)를 설치돼 피해를 발생시키는 사례가 발견돼 주의가 요구된다.
 
국내 대표 보안블로그 ‘울지않는 벌새’는 “가짜 Softpedia 웹 사이트로 위장해 애드웨어를 설치하는 방식은 사용자가 구글 검색을 통해 특정 웹 사이트에 접속하는 과정에서 조건에 부합될 경우 1회 연결이 이루어진다”며 “구글 검색을 통해 표시된 URL 주소값을 직접 웹 브라우저에 입력해 접속할 경우에는 정상적인 웹 사이트로 연결되고 있다. 하지만 구글 검색 결과에서 제시한 링크를 이용해 접속할 경우 문제의 사이트로 연결될 수 있어 주의해야 한다”고 경고했다.

 
울지않는 벌새의 분석에 따르면, 구글 검색 결과를 클릭할 경우 검색 결과에서 표시하는 URL 주소로 연결되는 과정에서 리퍼러(Referrer) 값을 체크해 특정 URL 값으로 리다이렉트를 시도한다. 연결된 웹 사이트는 Softpedia 파일 자료실의 다운로드 페이지로 구성되어 있으며, 접속 후 자동으로 특정 파일을 다운로드 시도한다.
 
이 과정을 살펴보면 가짜 Softpedia 웹 페이지 접속시 3초 경과시 특정 외부 서버를 로딩하는 동작을 확인할 수 있다.
 
이를 통해 최종적으로 파일명은 변경될 수 있지만 동일한 해쉬값을 가지는 설치 파일을 다운로드한다.

 
만약 사용자가 가짜 Softpedia 웹 사이트에 접속한 이후 재접속을 시도할 경우에는 더 이상의 접속이 이루어지지 않고 위 두개 웹사이트로 연결되어 파일을 자동 다운로드하고 있다.
 
흥미로운 점은 이렇게 연결된 웹 사이트에서 다운로드되는 파일은 서버 사이드 폴리모픽(Server Side Polymorphic) 기법을 통해 다운로드 때마다 Hash값 변경을 시도하고 있다.
 
울지않는 벌새는 “이렇게 설치된 PC 환경에서는 인터넷 익스플로러, 구글 크롬 등의 다양한 웹 브라우저 환경에서 인터넷 이용시 원치않는 광고 배너 생성 등의 불편을 유발하며 가상 화폐 채굴 작업을 통해 CPU 상승을 통한 과도한 전기 사용량을 증가시킬 수 있다”며 “최근 국내 인터넷 사용자 중에서 국내 광고 프로그램 외에도 해외 광고 프로그램이 설치되어 고생하는 분들이 점점 증가하고 있으므로, 국내 광고 프로그램보다 더욱 지능적이고 삭제가 어려운 해외 광고 프로그램이 설치되지 않도록 각별히 주의해야 한다”고 당부했다.
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★