본문 바로가기

벌새::Analysis

"Flash Video Downloader" Chrome 확장 프로그램이 악성코드? (2018.6.17)

반응형

웹 사이트에서 재생되는 Flash, 비디오, 오디오를 다운로드할 수 있는 Chrome 확장 프로그램 중 "Flash Video Downloader" 프로그램이 최근 ESET 백신 프로그램에서 악성코드로 진단되는 이슈가 있습니다.

 

 

  • C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc\31.2.5_0\js\background.js (SHA-1 : 2aef818bc73c9102403649e178bb95d2431902b5 - ESET : JS/Chromex.Agent.AP)
  • C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc\31.2.5_0\js\contentScripts\contentScript.js (SHA-1 : ca83d66d8a53c8406613c4ed6d809ab61b16b3c1 - ESET : JS/Chromex.Agent.AP)
  • C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc\31.2.5_0\js\popup\Popup.js (SHA-1 : e3d97c4dfca762b75a8c94e0024cdf66cbb78602 - ESET : JS/Chromex.Agent.AP)
  • C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc\31.2.5_0\popup.html (SHA-1 : 6c7c9ebcad260a96b56937cc5c0fbc80d6223058 - ESET : JS/Chromex.Agent.AP)

우선 진단된 Flash Video Downloader 확장 프로그램의 파일을 확인해보면 러시아(Russia) 언어를 사용하는 제작자에 의해 개발된 것으로 보이며, Chrome 웹 스토어를 통해 설치되는 과정에서 다음과 같은 앱 권한을 요구합니다.

 

 

 

  • 방문하는 웹 사이트의 전체 데이터 조회 및 변경
  • 다운로드 관리
  • 앱, 확장 프로그램 및 테마 관리

이를 통해 추가된 "Flash Video Downloader" Chrome 확장 프로그램은 접속된 웹 사이트에서 다운로드 가능한 콘텐츠가 존재할 경우 다운로드 버튼을 생성하여 손쉽게 파일을 저장할 수 있습니다.

 

그런데 2018년 6월 14일경부터 "Flash Video Downloader" 관련 파일(C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc) 중의 일부 파일을 악성코드로 차단을 하는 문제가 발생하고 있으며, 해외 정보를 찾아보면 "Flash Video Downloader" 확장 프로그램이 특정 웹 서버와의 접속을 시도한다는 내용이 있습니다.

 

우선 탐지된 파일의 내부 코드를 확인해보면 대체적으로 "Flash Video Downloader" 확장 프로그램 설치 이후 자동으로 연결되는 페이지가 존재한 것을 알 수 있으며, 개인적인 기억으로는 2017년 말까지는 존재하지 않았던 것으로 판단됩니다.

 

 

연결된 페이지는 Chrome 웹 스토어에서 "Unseen for Facebook" 확장 프로그램 설치를 안내하는 링크가 포함되어 있으며 페이지 자체는 특별히 의심스러운 코드는 존재하지 않습니다.

 

"Flash Video Downloader" 확장 프로그램이 설치된 환경에서 사용자가 Chrome 웹 브라우저 실행 또는 새 탭을 오픈하는 과정에서 특정 시간에 추가적인 팝업이 생성될 수 있으며, 이런 연결로 인하여 평소에는 문제없는 콘텐츠가 노출되었지만 웹 페이지 변조 등의 이유를 통해 의심스러운 페이지(h**ps://rctphvxwnjhx.pw/tracking/********)로 연결되었던 것이 아닌가 싶습니다.

 

출처 : https://www.malwares.com

 

참고로 malwares.com에서 제공하는 해당 도메인은 2018년 5월 28일경 최초 보고된 것으로 알려져 있으며, 관련 도메인을 통해 어떤 악성 파일 추가 다운로드 등의 정보는 확인되지 않습니다.

 

 

이런 문제로 인하여 현재 시점에서 ESET 백신에서는 "Flash Video Downloader" Chrome 확장 프로그램에 대한 진단이 지속되고 있으므로 의심스러운 확장 프로그램은 사전에 삭제를 통해 차후에라도 의심스러운 도메인으로 연결되는 일이 없도록 사전 예방을 하시는 것을 추천해 드립니다.

728x90
반응형