울지않는벌새 : Security, Movie & Society

사이트 접속 시 시스템 경고창을 생성하는 허위 광고 주의 (2016.7.8)

벌새::Analysis

최근 국내 특정 프로그램 다운로드 사이트 접속 시 눈에 보이지 않는 스크립트를 추가하여 시스템 경고창을 생성하는 사례가 확인되어 살펴보도록 하겠습니다.

 

 

해당 광고 방식은 이전에 유사 방식을 소개한 적이 있으며 실제 활용되는 사례를 통해 보이지 않는 광고가 사용자에게 어떻게 노출되는지 알아보도록 하겠습니다.

 

 

사용자가 웹 브라우저를 이용하여 사이트에 접속할 경우 눈에는 표시되지 않는 영역에 광고 스크립트가 추가되어 있는 부분을 확인할 수 있습니다.

 

 

스크립트에 노출된 PC는 자동으로 특정 웹 서버로 연결될 수 있으며, 접속 시마다 매번 동일하게 이벤트가 발생하는 것은 아닌 것으로 파악되고 있습니다.

 

 

1차적으로 연결된 URL 값에서는 최초 연결된 Referrer값을 체크한 후 2차 도메인으로 연결을 시도합니다.

 

 

연결된 2차 URL 값에서는 "get.todaysoffers.online" 웹 서버로 연결하도록 스크립트 정보가 포함되어 있습니다.

 

 

이를 통해 사용자 화면에는 "시스템 경고 윈도우 컴퓨터가 위험할 수 있습니다! 가능한 한 빨리 "지금 보안"을 클릭하여, 해로운 시스템으로부터 보호하고 정리하도록 수리 도구를 설치하십시오!" 메시지가 생성되어 확인 버튼을 클릭하도록 유도합니다.

 

 

사용자가 확인 버튼을 클릭할 경우 또 다른 "윈도우 컴퓨터가 위험할 수 있습니다!" 시스템 경고창을 생성하여 마치 악성코드에 감염된 것처럼 사용자에게 불안감을 유발하고 있습니다.

 

 

특히 시스템 경고창이 생성되는 과정에서 alert.mp3 파일을 백그라운드로 로딩하여 청각적으로도 불안감을 유발합니다.

 

 

생성된 시스템 경고창의 "지금 보안" 버튼을 클릭할 경우 "www.reimageplus.com" 웹 서버로 연결이 이루어지도록 구성되어 있습니다.

 

 

이를 통해 최종적으로 한글로 제작된 Reimage Repair 프로그램 홍보 페이지로 연결되어 있으며, 사용자가 제공되는 설치 파일(SHA-1 : d29d9bc19d5433c98672a82a836d36527a9360cf)을 다운로드하도록 유도하고 있습니다.

 

 

Reimage Repair 프로그램은 이전에도 소개한 것처럼 100% 한글화가 이루어진 해외 PC 점검 프로그램으로 과도한 진단을 통해 결제를 유도하는 프로그램으로 파악되고 있습니다.

 

이번 광고 사례와 같이 웹사이트 화면상에는 표시되지 않는 광고 스크립트를 통해 자동으로 경고창 생성을 통해 특정 사이트로 자동 연결하여 프로그램 다운로드를 유도하는 사례가 지속적으로 발견되고 있으므로 시스템 경고창에 속아 불필요한 프로그램을 설치하지 않도록 주의하시기 바랍니다.