해외에서는 악성코드 또는 제휴 프로그램 유포 목적으로 가짜 Adobe Flash Player 설치 페이지를 제작하여 이용하는 경우가 있었는데 국내에서는 일반 사례를 그동안 볼 수 없습니다.
그런데 국내에서도 광고 운영 조직이 가짜 Adobe Flash Player 다운로드 페이지를 이용하여 다수의 제휴 프로그램을 설치하도록 하는 사례가 확인되어 살펴보도록 하겠습니다.
확인된 가짜 Adobe Flash Player 설치 사이트는 최소 몇 개월 이전부터 운영되었던 것으로 추정되며 URL 주소상 국내 광고 운영 조직에서 소유하고 있는 것으로 보입니다.
해당 사이트의 설치 버튼을 클릭할 경우 파일 서버로부터 AdobeFlashPlayer32_1.exe 파일(SHA-1 : 030f7e28548e0080d899eb63ffdfc69ffeefb814 - AhnLab V3 365 Clinic : PUP/Win32.Agent.C1671500)을 다운로드합니다.
다운로드된 파일은 2016년 3월 30일 "jncmarketing Co., Ltd" 이름으로 서명된 파일로 기존부터 다양한 광고 프로그램에서 발견되고 있는 디지털 서명입니다.
파일을 실행할 경우 Adobe Flash Player 파일 다운로드 창이 생성되며, 하단의 좁은 영역에는 OneDayWeather, PickPlus, LineUp 제휴 프로그램이 포함되어 있습니다.
만약 사용자가 "제휴 프로그램 설치 및 이용약관에 동의 합니다." 체크 박스를 해제한 후 Adobe Flash Player 파일만을 저장하려고 시도할 경우 반드시 동의 박스에 체크하도록 메시지를 표시합니다.
특히 파일 다운로드를 포기하고 창을 종료하려고 할 경우 "프로그램을 설치하지 않고 종료 합니다. 제휴 설치프로그램을 설치하지 아니하지 않겠습니까?" 메시지를 통해 사용자에게 혼동을 유발하는 트릭(Trick)을 사용합니다.
사용자가 제휴 프로그램 설치 여부를 제대로 인지하지 못한 상태로 파일 다운로드를 실행할 경우 외부 서버에 등록된 3종의 제휴 프로그램의 배포 파일을 다운로드하여 백그라운드 방식으로 자동 설치가 진행됩니다.
(1) 프로그램 제거 시 사용자 몰래 광고 프로그램을 설치할 수 있는 LineUp 주의 (2016.11.12)
- LineUp_L.exe (SHA-1 : 483924fe0efe8817af5621d78bb0e14882c5474e - AhnLab V3 365 Clinic : PUP/Win32.Downloader.R167412)
(2) 프로그램 제거 목록을 생성하지 않는 PickPlus 악성 광고 프로그램 주의 (2016.11.17)
- PickPlus_L.exe (SHA-1 : 2c0698892253eb1c94c31ce327e4ca15a4557a86 - Kaspersky : not-a-virus:AdWare.Win32.Popuper.rs)
(3) 날씨 정보가 포함된 OneDayWeather 광고 프로그램 유포 주의 (2016.11.27)
- OneDayWeather_L.exe (SHA-1 : e3ff475ca4453b862f6a53f0f9c6dbac4ac5a946 - AhnLab V3 365 Clinic : PUP/Win32.SearchTo.C1241410)
해당 3종의 광고 프로그램은 프로그램 제거 과정에서도 서로를 재설치할 수 있는 옵션이 포함되어 있으며, 특히 PickPlus 광고 프로그램은 제어판을 통한 제거 기능을 제공하지 않는 방식으로 자신의 존재를 숨기고 있습니다.
위와 같이 국내 광고 조직도 유명 소프트웨어의 다운로드 사이트와 매우 유사하게 제작하여 파일 다운로드를 유도할 수 있다는 것을 알 수 있으므로 파일 다운로드 시에는 접속한 사이트의 URL 주소를 반드시 확인하여 공식 사이트에서 다운로드하는 습관을 가지시기 바랍니다.