맥용 어도비 플래시 플레이어로 위장한 트로이목마 주의보

2016. 2. 9. 19:06    작성자: ONE™

맥용 어도비 플래시 플레이어의 설치관리자(인스톨러)로 위장한 악성 프로그램이 발견돼 사용자들의 주의가 요구되고 있습니다.

5일(현지시각) 미국 보안업체인 인티고는 플래시 플레이어 인스톨러로 위장한 새로운 형태의 트로이목마가 발견됐다고 전했습니다.

이 트로이목마는 웹 서핑 도중 “해당 콘텐츠를 재생하려면 플래시 플레이어가 필요하다" 혹은 "시스템에 설치된 플래시 플레이어의 사용 기한이 만료됐다"는 팝업창을 띄워 사용자로 하여금 설치를 유도합니다. 맥에서 플래시 콘텐츠를 재생하려면 플래시 플레이어가 필요하다는 점을 노린 것인데, 실제 플래시 인스톨러와 룩&필이 비슷하기 때문에 사용자들이 속아 넘어갈 위험이 높습니다.

플래시 플레이어 설치가 완료되면 "이 맥이 손상되었습니다. 맥을 수리하시겠습니까?"라는 가짜 감염 메시지를 띄워 사용자가 무심코 확인 버튼을 누르도록 유도합니다. 확인 버튼을 누르면 서버를 통해 추가로 악성코드를 다운로드하고 설치하는데, 웹사이트에 악성 링크를 삽입한다든가 웹브라우저 기본 홈페이지가 바뀌는 등의 증상이 나타날 수 있습니다. 시스템을 망가뜨리지는 않지만 무분별하게 광고를 뿌리는 소위 'PUP((Potentially Unwanted Program)'가 설치된 것입니다.

맥 운영체제가 이 트로이목마를 악성코드로 인식하지 않는다는 것도 문제로 꼽히고 있습니다. 인티고의 분석 결과, 이 트로이목마는 애플의 개발자 서명을 갖고 있는 것으로 확인됐습니다. 악성코드를 만든 개발자가 애플 개발자 멤버십을 갖고 있다는 얘기입니다. 따라서 OS X의 게이트키퍼 기능이 활성화되어 있더라도 경고나 주의 없이 설치가 진행됩니다. 지금까지는 단순히 광고를 띄우는 수준이지만, 차후 더 큰 보안 문제를 일으킬 가능성이 열려있는 셈입니다.


* 트로이목마에 애플 개발자 서명이 포함되어 있어 GateKeeper를 유유히 통과하는 모습

이번에 발견된 트로이목마가 아니더라도 가짜 플래시 플레이어를 통한 악성코드나 PUP 유포가 맥 플랫폼에서 꾸준히 기승을 부려왔습니다. 기왕이면 맥 플랫폼의 보안 구멍인 플래시 플레이어를 아예 설치하지 않는 게 최선이겠지만, 부득이 플래시 플레이어가 필요하거나 업데이트해야 할 때는 반드시 어도비 공식 사이트에서 최신 버전을 내려받으시기 바랍니다.



참조
Intego - Fake Flash Player Update Infects Macs with Scareware
SANS ISC - Fake Adobe Flash Update OS X Malware

관련 글
• 맥을 겨냥한 멀웨어, 정말 증가하고 있을까?
• 맥용 안티바이러스 제품 18종 벤치마크 테스트 결과
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'

    
  1. Blog Icon
    눈사람

    애플의 개발자 서명을 갖고 ㄷㄷㄷ

  2. Blog Icon
    라쿠

    그러면 누가 했는지도 알 수 있을까요?

  3. Blog Icon
    흠..

    이젠 플레쉬하고 정말 작별할때 같군요.

  4. Blog Icon
    최재명

    이미 저 가짜 플레시 플레이어를 설치해버렸다면, 어떡하죠? 지난번에 좀 이상한 듯했지만, 믿고 설치해버렸습니다. 악성코드 제거하려면 어떻게 해야 하나요?

  5. Blog Icon
    이우진

    저도 이미 저 어도비플레이어를 깔고 그 뒤로 인터넷 창만 열면 쓸데없는 사이트가 열리는 오류가 걸렸는데요...
    어떻게 해결할 방법이 있을까요??