1백만대에 가까운 윈도우 컴퓨터가 특정 맬웨어에 감염되어 온라인 광고 사기에 이용되고 있는 것으로 전해졌다. 이 맬웨어에 감염된 컴퓨터에서 구글, 야후, 빙 등으로 검색하면 가짜 검색 결과 페이지가 표시된다.
루마니아 보안회사 빗디펜더가 5월 16일 자사 공식 블로그에 발표한 보고서에 의하면 Redirector.Paco라고 불리는 이 맬웨어는 애드센스 프로그램 사기로 부정 수입을 올리기 위해 제작되었고, 2014년 9월 처음 등장한 이후 현재까지 90만대가 넘는 컴퓨터가 감염되었으며, 국가별로는 인도, 말레이시아, 그리스, 미국, 이태리, 파키스탄, 브라질이 가장 많다고 한다.
주로 WinRAR, 유튜브 다운로더, Connectify, Stardock, KMSPico 등으로 위장한 악성 프로그램 설치 파일을 통해 배포되는데, 설치 과정에서 윈도우 레지스트리에 악성파일 3개(prefs.js, reset.txt, update.txt)와 작업 스케줄러 2개(Adobe Flash Scheduler, Adobe Flash Update), 악성 자바스크립트가 추가되며 이 악성 파일은 사용자가 로그인 할 때마다 실행된다.
매주 화요일 오후 6시에 실행되도록 제작된reset.txt는 프록시 캐쉬를 비활성화 시키고, 공격자 서버에서 프록시 자동 설정 파일(PAC)을 다운로드 받는다. 이 PAC는 윈도우 레지스트리 값을 변경시켜 웹사이트 트래픽을 악성 URL로 리다이렉트한다. 예를 들어 URL에 “https://www.google”이 포함된 경우 IP 93.*.*.240:8484 로 보낸다.
조작된 페이지는 그럴사해 보이지만 브라우저 상태바에 “Waiting for proxy tunnel” 혹은 “Downloading proxy script” 라는 메시지가 표시되고, 페이지 로딩에 평소보다 시간이 걸린다. 그리고 검색 결과 페이지 하단에 페이지 번호 위에 “Goooooooooogle” 이 표시되지 않는다.
이 맬웨어는 검색 엔진 결과가 암호화된 HTTPS를 사용하더라도 리다이렉트 시킨다. 이 경우 HTTPS 오류가 주소창에 표시되지 않도록 무료 루트 인증서를 사용하지만 자물쇠 아이콘을 클릭해 인증서 정보를 보면 신뢰하지 말라는 경고(DO_NOT_TRUST_FiddlerRoot)가 있는 것을 볼 수 있다. update.txt 와 reset.txt와 유사 기능의 악성 자바스크립트도 포함되어 있다.
빗디펜더 연구원들은 이 위협을 막기 위해 바이러스 백신을 항상 업데이트 할 것과, 컴퓨터의 경고 메시지에 주의를 기울일 것을 권했다.
출처: Bitdefender 블로그