Bing ad serves malware to would-be Google Chrome switchers

The criminal gangs that specialize in malware love search engines, because they represent an ideal vector for getting Windows users to click on links that lead to potentially dangerous Trojans. The latest attack targets ads, and the social engineering is frighteningly good. 
 
말웨어를 다루는 범죄조직들은 검색엔진을 좋아한다. 잠재적으로는 위험한 트로이목마로 연결된 링크를 윈도우 유저가 클릭할 수 있도록 하는 이상적인 방법이기 때문입니다. 최근 공격은 사회공학 기법에 알맞은 광고를 목표로 삼고 있다.   


Update: The same gang is responsible for a wave of new ads that lead to malware. See 
Bing ad leads to more malware; new Mac Trojan in the wild.

흐름에 발 맞춘 말웨어 광고들. 새로운 맥 OS 트로이목마 같은 말웨어를 유도하는 Bing의 광고를 보아라!

Can you trust your favorite search engine? Don’t answer too quickly.
가장 좋아하는 검색엔진을 믿고 있는가? 섣불리 판단하지 말아라 


Earlier this year, Google was under siege by a gang of Russian criminals. The bad guys hijacked search results (especially for images) and used scripts to redirect Windows and Mac users to sites that tried to scare them into installing fake antivirus software.
이번년도 최근에 구글은 러시아 범죄자들의 갱으로 부터 포위됬다. 검색결과를 악용하고 가짜백신 프로그램을 설치하도록 윈도우와 맥 OS 유저를 겁주기 위한 사이트로 연결되는 스크립트를 구현하였다

 

Google eventually cleaned up the mess, and Russian authorities helped their cause immensely byarresting the ringleader.
구글은 이 페이지들을 정리하였고, 러시아 정부관계자들도 책임자로써 원인파악에 도움을 주었다. 

 

But that doesn’t mean it’s safe to relax yet. This week I’m watching a new wave of attacks that are using web advertising and social engineering to deliver Windows-based malware. The payload looks like legitimate software, but it’s actually a malicious downloader .

하지만 이것은 안전하다를 의미하는 것이 아니다. 이번주 윈도우 기반 말웨어를 배포하는 사회공학기법과 웹 광고를 이용한 새로운 공격형태를 보고있다. 마치 합법적인 프로그램처럼 보이지만 사실 악성 다운로더이다.

 
 

Today’s example is from Bing, which may have a fraction of Google’s search traffic but still has attracted the attention of cybercriminals.
이번 예시는 구글의 검색에 버금가는 정보율을 보이고 있지만 여전히 범죄자들의 표적이 되고 있는 Bing을 사용할 것이다. 

 

Earlier today I visited Bing and searched for google chrome. The results were accompanied by a handful of ads in prominent positions at the top and along the right side. Nothing unusual about that, except for two nearly identical ads that appeared side-by-side at the top of the list. Here’s what they looked like (I’ve obscured the URL names to make the test tougher).

오늘 일찍, 나는 BIng을 접속해 "Google Chrome(구글 크롬)" 을 검색하였다. 오른쪽과 위쪽 눈에 딸 띄는 위치에 유용한 광고들이 결과에 같이 표시되었다. 리스트 상단과 옆에 나타난 두 광고들을 제외하고는 유용하지 않은 것은 없었다. 여기 무엇을 표현하는지 나타나 있다. (URL 이름은 가렸다)


 
 

One of those ads was legitimate, and the other led to a malware attack. Can you tell which was which?
이 광고중 하나는 합법적이고, 하나는 말웨어 공격으로 연결된다. 무엇이 무엇인지 말할 수 있을까? 

Here’s the landing page for the first ad:
첫 광고에 연결된 페이지: 


And here’s where clicking the second ad led:
이것은 두번째 광고를 클릭했을 때 연결된 페이지: 
 

If you look closely enough, you can probably figure out that the first site is Google’s legitimate Chrome download page and the second one is fake, but the differences are subtle. A nontechnical observer would have a very difficult time figuring out that one of those big blue Download Google Chrome buttons is the real deal and one is fake.

가장 친근하게 보이는 것이라면 첫 번째 사이트가 구글의 합법적인 크롬 다운로드 페이지이고 두번째는 가짜라 생각할 것이지만, 두 페이지간에 차이점을 찾기 힘들다. 비전문가 입장에서는 큰 파란색 다운로드 버튼이 진짜이고 나마자는 가짜라는 것을 판단하기 어려웠을 것이다.


The path from my web browser to the malicious software was a convoluted one.  
웹 브라우저로 부터 악성 프로그램까지의 이동 경로는 복잡하다. 

 

The landing page for the fake site is served from a domain called iDownloadster.info, which has been built for deception. The domain was registered with GoDaddy four days ago, and the ad is hosted at a Ukrainian site called Goodnet. The download link leads to a separate domain, dl-byte.com, which was registered seven days ago and is hosted on a server that is infested with malware, porn, and fake pharmaceutical sites, most of it located in Russia.

가짜 사이트로 이동하는 페이지는 iDownloadster.info 이다. 도메인은 GoDaDDy에 4년간 등록되었으며 광고는 Goodnet으로 불리는 우크라이나 사이트가 주인이였다. 다운로드 링크는 전혀 다른 도메인이였고 도메인은 dlbyte.com으로 7년간 등록되었으며, 말웨어, 음란물, 가짜약으로 악용된 곳이였다. 이런 사이트는 대부분 러시아에 위치한다.


But there’s no way to know any of that if you simply click the link and download the software.
하지만, 직접 프로그램을 다운받는 방법외에는 사전에 이런 사이트를 알 수 있는 방법이 없다.

 

When I sent the fake download to VirusTotal for analysis, it was detected by only a handful of antivirus engines. Microsoft Security Essentials missed this threat initially, but a definition update a couple hours later identified the downloaded file as Rogue:Win32/FakeRean. This family of fake antivirus software goes by dozens of names in the wild: Win 7 Internet Security 2011 and Total Win 7 Security, among others.

바이러스 토탈에 가짜 다운로드 프로그램을 전송하니, 몇 안되는 백신엔진에서만 바이러스를 감지하였다. MSE는 초기에는 진단하지 못했으나, 두시간 이후 Rogue:Win32/FakeRean 라는 이름으로 진단하도록 업데이트 되었다. Win7 Internet Security 2011, Total Win7 Security 등등 가짜 백신들은 이름도 다양하다.


That lag between the time I downloaded the file and when it was identified is a perfect illustration of the phenomenon I wrote about last week in Why malware networks are beating antivirus software. But that doesn’t mean I was a sitting duck. In fact, all of my main Windows PCs stopped this potential infection in its tracks, using security layers that don’t depend on definition files.

내가 파일을 받을 시점과 내가 저번주에 작성한 "말웨어 네트워크는 왜 백신을 노릴까" 에 적었던 현상이 나타난다는 것을 파악하고 있는 사이에 링크는 사라졌지만, 내가 알아채지 못했음을 의미하는 것이 아니다. 사실 나의 윈도우 PC들은 모두 파일에 의존하지 않는 보안이라던가 말웨어에 감염되어 있지 않다. 

 
 

In my next post, I’ll offer a detailed look at how those antivirus alternatives work and why they represent the future of online security.

나의 다음 기사는 어떻게 백신이 작동하고 왜 백신이 미래보안을 대표하는 것인지 자세히 알아볼 것이다


 

Update: Five hours after I reported this issue to Microsoft, the fake ad was removed. A Microsoft spokesperson provided the following comment:

MS에 이번 문제를 취재한지 5시간 만에 가짜 광고는 삭제됬고, MS 대변인은 다음과 같은 답변을 하였다.
 

Microsoft has identified the malicious ad and took the appropriate action to remove it. The advertiser also can no longer post ads on Bing. In addition, the site’s URL is no longer available via adCenter. We remain vigilant in protecting consumers, advertisers and our network from fake online insertion orders and continue to directly work with our agency media partners to verify and confirm any suspicious orders.

MS는 악성광고를 확인했고, 삭제조치 하였습니다.  해당 광고주는 더이상 Bing에 광고를 개제할 수 없으며 사이트 URL도 ADCenter 를 통해 더이상 사용할 수 없습니다. 우리는 소비자, 광고주, 자사를 가짜 광고 등록으로 부터 보호하기 위해 주의할 것이며, 지속적으로 의심되는 등록에 대해 검토할 담당요원을 배치할 것입니다.


Related posts:
관련 기사 

+ Recent posts