지난 28일(현지 시간) 미국 IT 전문매체 블리핑컴퓨터(Bleeping Computer) 보도에 따르면, 현재 악성코드 제작자들은 악성코드를 확산시키기 위해 인기 소프트웨어(SW) 검색 시 게시되는 구글 애즈(Google Ads)를 남용하는 중이다.
악성코드 운영자들은 주로 유명한 소프트웨어인 척 위장해 구글 광고를 게시한다. 이들은 그래멀리(Grammarly), MSI 애프터버너(Afterburner), 슬랙(Slack), 대시레인(Dashlane), 멀웨어바이트(Malwarebytes), 오대시티(Audacity), 유토렌트(μTorrent), OBS, 링(Ring), 애니데스크(AnyDesk), 리브레 오피스(Libre Office), 팀뷰어(Teamviewer), 썬더버드(Thunderbird), 브레이브(Brave) 등을 이용해서 구글 광고로 악성코드를 퍼뜨리는 것으로 알려졌다. 앞서 말한 소프트웨어를 설치할 때 사용자는 각별히 조심해야 한다.
아무런 의심을 하지 않는 사용자가 위장된 구글 광고를 통해 다운로드 버튼을 클릭하면 소프트웨어의 공식 웹 사이트를 복제한 사이트로 접속된다. 복제한 사이트에서는 악성코드 운영자들이 의도적으로 만든 트로이 목마(Trojan horse) 악성 소프트웨어가 설치된다. 트로이 목마는 정상 파일인 척 컴퓨터 사용자 몰래 사용자의 컴퓨터 환경에 침투해 사용자 정보를 가져가는 대표적인 악성코드 방식이다.
구글 애즈 플랫폼은 검색 결과 최상단에 광고를 위치시키는데, 종종 공식 웹사이트보다도 더 높은 위치에 광고를 게시한다. 구글 검색에서 광고주들이 웹 사이트를 홍보하기 위해 사용한다. 광고 차단 프로그램을 사용하지 않는다면 공식 소프트웨어를 찾을 때 광고를 먼저 보게 된다. 실제로 광고가 검색 결과와 상당히 유사하기 때문에 사용자가 클릭할 가능성이 높다.
만약 구글이 사용자가 접속하고자 하는 웹 사이트가 악의적인 사이트라는 것을 탐지한다면 웹 사이트 접속이 차단되고 광고가 제거된다. 악성코드 운영자들은 이를 방지하기 위해 구글의 자동화된 탐지 시스템을 우회하기 위해 일종의 속임수를 구사한다.
보안 업체 가디오 랩스(Guardio Labs)와 보안 소프트웨어 기업 트렌드 마이크로(Trend Micro)의 보고에 따르면, 악성코드 운영자들은 광고를 클릭하는 사용자를 임의로 설정한 사이트로 접속하게 만든다고 말했다. 첫 번째로 접속되는 사이트는 악성 프로그램과 무관하다. 이후 사용자를 공식 소프트웨어 웹 사이트를 가장한 악성 사이트로 리다이렉션(redirection)하는 방식의 속임수를 사용한다. 가디오 랩스는 위장된 사이트로 사용자가 방문하는 순간 서버가 즉시 사이트를 악성 사이트로 리다이렉션하고, 사용자 컴퓨터 환경에 악성코드 파일이 자동으로 설치된다고 설명했다. 악성코드 파일은 깃허브(GitHub)나 드롭박스(Dropbox) 등 유명한 파일 공유 서비스를 통해 다운로드되기 때문에 사용자의 백신 프로그램이 탐지하지 않는다.
가디오 랩스와 트렌드 마이크로는 실제로 악의적인 웹 사이트들이 구글 애즈 플랫폼을 통해 더욱 많은 홍보가 되고 있다고 말했다.
구글 애즈를 통해 사용자에게 전달된 악성코드는 라쿤 스틸러(Raccoon Stealer)의 변종 형태, 바이다 스틸러(Vidar Stealer), 아이스드아이디(IcedID) 등이다. 라쿤 스틸러는 2019년에 등장한 ‘정보 탈취형 악성코드(Info Stealer)’로, 해커들이 많이 사용하던 악성코드 중 하나다. 지난 11월 가디오 랩스는 가짜 그래멀리 서비스를 통해 라쿤 스틸러가 다운되는 사례를 보고한 바 있다. 바이다 스틸러도 정보 탈취형 악성코드며 라쿤 스틸러와 함께 올해 다크웹 시장에서 많은 활약을 펼친 악성코드다. 아이스드아이디는 2017년에 등장한 뱅킹 악성코드로, 은행과 카드사, 모바일 서비스 업체, 전자거래 사이트 등을 주요 공격 대상으로 삼는다. 또한 악성코드 운영자는 가짜 MSI 애프터버너 포털 사이트를 통해 사용자들을 레드라인 스틸러(RedLine Stealer)에 감염시키기도 했다. 레드라인 스틸러도 정보 탈취형 악성코드 중 하나로, 앞서 언급한 라쿤 스틸러, 바이다 스틸러와 함께 올해 다크 웹 시장에서 두각을 보였다.
구글 애즈 플랫폼을 통해 악성코드가 설치되는 것을 막으려면 가장 좋은 방법은 웹 브라우저에서 애드 블락을 활성화해 구글 검색에서 광고가 게시되지 않게끔 하는 것이다. 또 다른 예방 방법은 특정 소프트웨어를 찾을 때 도메인 주소를 확인하고 소프트웨어의 공식 웹 사이트에 접속하는 것이다. 확신할 수 없다면 다른 포털 서비스에 공식 도메인을 검색한 후 접속해야 한다. 특히 악성코드 운영자가 만든 웹 사이트에는 철자 오타가 존재하기 때문에 도메인 주소에 오타가 없는지 확인한다. 그리고 자주 방문하는 사이트 주소는 즐겨 찾기 형태로 저장해 두고 검색을 피하는 방법도 있다. 마지막으로 악성코드 파일은 보통 비정상적으로 파일 크기가 크기 때문에 설치하는 파일의 크기와 비교한 후 다운로드해야 한다.
테크플러스 에디터 박효정
tech-plus@naver.com
댓글0