본문 바로가기

벌새::Analysis

"Flash Video Downloader" Chrome 확장 프로그램이 악성코드? (2018.6.17)

웹 사이트에서 재생되는 Flash, 비디오, 오디오를 다운로드할 수 있는 Chrome 확장 프로그램 중 "Flash Video Downloader" 프로그램이 최근 ESET 백신 프로그램에서 악성코드로 진단되는 이슈가 있습니다.

 

 

  • C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc\31.2.5_0\js\background.js (SHA-1 : 2aef818bc73c9102403649e178bb95d2431902b5 - ESET : JS/Chromex.Agent.AP)
  • C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc\31.2.5_0\js\contentScripts\contentScript.js (SHA-1 : ca83d66d8a53c8406613c4ed6d809ab61b16b3c1 - ESET : JS/Chromex.Agent.AP)
  • C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc\31.2.5_0\js\popup\Popup.js (SHA-1 : e3d97c4dfca762b75a8c94e0024cdf66cbb78602 - ESET : JS/Chromex.Agent.AP)
  • C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc\31.2.5_0\popup.html (SHA-1 : 6c7c9ebcad260a96b56937cc5c0fbc80d6223058 - ESET : JS/Chromex.Agent.AP)

 

우선 진단된 Flash Video Downloader 확장 프로그램의 파일을 확인해보면 러시아(Russia) 언어를 사용하는 제작자에 의해 개발된 것으로 보이며, Chrome 웹 스토어를 통해 설치되는 과정에서 다음과 같은 앱 권한을 요구합니다.

 

 

 

  • 방문하는 웹 사이트의 전체 데이터 조회 및 변경
  • 다운로드 관리
  • 앱, 확장 프로그램 및 테마 관리

 

이를 통해 추가된 "Flash Video Downloader" Chrome 확장 프로그램은 접속된 웹 사이트에서 다운로드 가능한 콘텐츠가 존재할 경우 다운로드 버튼을 생성하여 손쉽게 파일을 저장할 수 있습니다.

 

그런데 2018년 6월 14일경부터 "Flash Video Downloader" 관련 파일(C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc) 중의 일부 파일을 악성코드로 차단을 하는 문제가 발생하고 있으며, 해외 정보를 찾아보면 "Flash Video Downloader" 확장 프로그램이 특정 웹 서버와의 접속을 시도한다는 내용이 있습니다.

 

우선 탐지된 파일의 내부 코드를 확인해보면 대체적으로 "Flash Video Downloader" 확장 프로그램 설치 이후 자동으로 연결되는 페이지가 존재한 것을 알 수 있으며, 개인적인 기억으로는 2017년 말까지는 존재하지 않았던 것으로 판단됩니다.

 

 

연결된 페이지는 Chrome 웹 스토어에서 "Unseen for Facebook" 확장 프로그램 설치를 안내하는 링크가 포함되어 있으며 페이지 자체는 특별히 의심스러운 코드는 존재하지 않습니다.

 

"Flash Video Downloader" 확장 프로그램이 설치된 환경에서 사용자가 Chrome 웹 브라우저 실행 또는 새 탭을 오픈하는 과정에서 특정 시간에 추가적인 팝업이 생성될 수 있으며, 이런 연결로 인하여 평소에는 문제없는 콘텐츠가 노출되었지만 웹 페이지 변조 등의 이유를 통해 의심스러운 페이지(h**ps://rctphvxwnjhx.pw/tracking/********)로 연결되었던 것이 아닌가 싶습니다.

 

출처 : https://www.malwares.com

 

참고로 malwares.com에서 제공하는 해당 도메인은 2018년 5월 28일경 최초 보고된 것으로 알려져 있으며, 관련 도메인을 통해 어떤 악성 파일 추가 다운로드 등의 정보는 확인되지 않습니다.

 

 

이런 문제로 인하여 현재 시점에서 ESET 백신에서는 "Flash Video Downloader" Chrome 확장 프로그램에 대한 진단이 지속되고 있으므로 의심스러운 확장 프로그램은 사전에 삭제를 통해 차후에라도 의심스러운 도메인으로 연결되는 일이 없도록 사전 예방을 하시는 것을 추천해 드립니다.

  • Video Downloader GetThemAll도 비슷한 일이 있었는데 다운로더 계열의 확장기능은 이런일이 종종 있나봅니다.

  • 저도 이 확장 사용하다 오늘 Avast -> ESET 로 바꿨다가 문제 있는걸 처음 알았습니다.

    체험기간동안 더 써봐야 알겠지만 Avast가 못 잡아주던걸 바로 잡아주는걸 보니 뭔가 ESET에 더 믿음이 가네요.

  • 문의드립니다. 2019.01.29 15:44 댓글주소 수정/삭제 댓글쓰기

    우선 유익한 포스팅 정말 잘 읽었습니다 :)
    저는 윈도우10에서 제공하는 윈도우 디펜더를 백신으로 사용하고 있는데요.
    flash video downloader 확장프로그램 설치 후 '전체검사'를 실행했는데, 위협은 발견되지 않았습니다.
    (다만 그외 타 백신으로는 검사를 해보지 않았습니다.)

    현재도 벌새님께서 사용 중이신 ESET 백신에서는 해당 확장 프로그램을 악성코드로 진단하고 있나요?
    그렇다면 더불어 혹시 정확한 원인이 발견된 게 있는지도 여쭤봅니다.

    윈도우 디펜더에서는 별다른 위협 진단이 없다보니.. 그냥 써도 괜찮을까요?
    flash video downloader 확장프로그램, 심플하고 사용하기도 편한데 여러모로 조금 걱정이 되네요.

    • 당시 진단된 파일을 재검사를 해봐도 여전히 ESET 백신에서는 탐지합니다.

      단지 다른 백신에서는 탐지하지 않는걸 봐서는 정책 문제이거나 오진일 수도 있습니다.