Every time I write about Internet Explorer, it’s usually a matter of minutes—sometimes even seconds—until someone in the Talkback section proclaims, smugly, that they’ve switched to Google Chrome or Firefox and are therefore immune from malware attacks.
시간날때면 크롬, 파이어폭스는 말웨어 공격을 막아낼 수 있다고 잘난체 하는 TalkBack 게시판의 의견에 대해 몇분간 의견을 적곤 합니다.
They’re wrong, and malware authors have begun preying on users of alternative browsers to push dangerous software, including Trojans and scareware. The problem is that most malware attacks aren’t triggered by exploits that target vulnerabilities in code. Instead, according to one recent study, “users are four times more likely to come into contact with social engineering tactics as opposed to a site serving up an exploit.”
그건 틀렸습니다. 트로이목마와 스캐어웨어가 포함된 위험한 소프트웨어를 브라우저에 나타나기 시작했습니다. 코드상의 취약점을 목표로 동작하지는 않지만 연구에 따르면 "취약한 사이트를 이용한 사회공학기법 공격이 4배 늘었다" 라고 밝혔습니다.
I found a perfect example yesterday, thanks to an alert from Silverlight developer Kevin Dente. He had typed in a simple set of search terms—Silverlight datagrid reorder columns—at Google.com, using the Google Chrome browser on Windows. You can follow along with what happened next in the screenshot gallery that accompanies this post.
SilverLight 제작자 Kevin Dente의 경고 때문에 아주 좋은 예를 하나 발견할 수 있었습니다.
The first page of Google search results included several perfectly good links, but the sixth result was booby trapped. Clicking that link in Google Chrome popped up this dialog box:
구글 검색결과 중 첫페이지에는 아무문제가 없었지만, 여섯째 페이지부터는 문제가 있었습니다. 클릭해보니 다음 박스가 하나 떴습니다.
당신의 시스템에서 심각한 프로세서가 실행중입니다.
크롬 보안팀은 빠르게 시스템 파일을 검사할 것입니다.
That led to a basic social engineering attack, but this one has a twist. It was customized for Chrome. If you’ve ever seen a Google Chrome security warning, you’ll recognize the distinctive, blood-red background, which this malware author has duplicated very effectively.
이것은 전형적인 사회공학공격이지만, 좀더 지능화되었습니다. 크롬브라우저에 맞게 수정하였습니다. 만약 구글 보안경고를 본 경험이 있는 사용자라면 빨강 바탕화면을 연상합니다. 이 말웨어는 이 점을 이용하여 똑같이 복제하였습니다.
After the fake scan is complete, another dialog box comes up, warning that “Google Chrome recommends you to install proper software.”
가짜 검사가 끝난후, 곧 다음 경고창이 뜹니다. "구글은 당신에게 맞는 소프트웨어를 설치할 것을 추천합니다"
당신의 시스템은 수많은 바이러스 공격을 받고 있습니다.
구글은 당신 컴퓨터를 보호하기 위한 소프트웨어를 설치할 것을 추천드립니다.
That’s terrible grammar, and this social-engineering attack is likely to fail with an English-speaking victim, who should be suspicious of the odd wording. But a user whose primary language is something other than English might well be fooled. And the malware author has anticipated the possibility that you might click Cancel in the dialog box. If you do, it still tries to download the malicious software.
문법이 엉망인 이 사회공학공격은 의심스러운 문장력 떄문에 영어권에서는 효용이 없습니다. 하지만 주 언어가 영어가 아닌 다른 사용자에게는 안 좋은 결과를 초래할 수 있습니다. 말웨어 제작자들은 취소 버튼을 누를 수도 있다는 것을 염두하여 취소를 누르더라도 악성코드가 다운되도록 설정하였습니다.
Each time I visited this page, the download I was offered was slightly different. My installed antivirus software (Microsoft Security Essentials) didn’t flag it as dangerous. When I submitted it to VirusTotal.com, only five of the 42 engines correctly identified it as a suspicious file. Less than 8 hours later, a second scan at VirusTotal was a little better. This time, eight engines confirmed that the file was suspicious. Microsoft’s virus definitions had been updated and a scan identified the rogue file asWin32/Defmid.
제가 이 페이지를 접속했을 때에는 약간 바뀌었습니다. 사용중인 백신 MSE는 위험감지를 하지 않았습니다. 바이러스토탈에 바이러스를 업로드해보니 42개 엔진중 5개 엔진에서만 의심파일로 진단하였습니다. 채 8시간이 지나지 않아 다시한번 바이러스토탈에 업로드 해보니 8개 엔진에서 진단하는 것으로 약간 호전되었습니다. 현재 MS에서는 Win32/Defmid 진단명으로 감지하고 있습니다.
Panda and Precx identified the file as “Suspicious” and “Medium risk malware,” respectively. BitDefender, F-Secure, and GData flagged it as “Gen:Trojan.Heur.FU.quX@am@e97ci.” AntiVir detected it as “TR/Crypt.XPACK.Gen.” Kaspersky says it is “Trojan-Downloader.Win32.FraudLoad.zdul.” Every other antivirus engine, as of a few minutes ago, waved this suspicious executable right through.
Panda와 Precx는 "의심", "중위험군" 으로 감지하고, 비트디펜더와 F-secure, G-Data는 휴레스틱 진단으로 진단하고 있습니다. Antivir는 "TR/Crypt.XPACK.Gen", 카스퍼스키는 "Downloader.Win32.FraudLoad.zdul" 로 감지하고 있습니다. 다른 백신 엔진도 곧 진단할 것입니다.
Meanwhile, back in the browser, Google Chrome’s warnings are completely generic. If you download the software it shows up in the Downloads folder looking perfectly innocent.
이 글에서 의미하는 것은 구글 크롬도 위험하다는 것입니다. 만약 소프트웨어를 다운 받는다면 프로그램을 완벽하게 묘사한 다운로드 폴더로 속일 수도 있습니다.
Interestingly, this set of “poisoned” search terms also affected Bing, although the dangerous search result was on a different site, which didn’t show up until the fifth page of search results. And the download that it offered was, apparently, a completely different Trojan/scareware product. But the end result would have been the same, regardless of which browser I was using.
흥미로운건, 악의적인 검색이 Bing 에서도 가능하다는 것입니다. Bing에서 검색을 하면 구글에서는 7번째 페이지에도 보이지 않던 또 다른 위험사이트가 검색됩니다. 그리고, 다운로드 된 바이러스 또한 완전히 다른 유형입니다. 하지만 우리가 피해본다는 결과는 동일합니다.
This case study shows that malware authors are beginning to adapt to changing habits of PC users. There’s nothing inherently safer about alternative browsers—or even alternative operating systems, for that matter—and as users adapt, so do the bad guys.
이번사례로 말웨어 제작자들은 PC유저의 습관에 적응해나가기 시작했다는 것을 볼 수 있습니다. 허무맹랑한 브라우저의 안전과 OS의 안전등을 미끼로 접근함으로써 상황이 악화되고 있습니다.
Be careful out there.
조심하십시오