파이어볼: 중국 악성코드가 전 세계 2억 5천만 대의 컴퓨터를 감염시킴

파이어볼 악성코드: 작동 방식과 PC 감염 여부 확인하기

악성코드 공격의 음산한 구름이 디지털 세계를 떠날 기미가 보이지 않습니다. 2017년 5월 12일, 원나잇크라이 랜섬웨어 공격이 150개국 이상에서 300,000대 이상의 컴퓨터를 마비시켰습니다.

전 세계의 기업들이 ‘원나잇크라이 랜섬웨어’ 공격에서 회복하기 위해 여전히 노력하고 있는 가운데, 새로 설치된 중국 악성코드가 이제 브라우저를 타겟으로 삼아 좀비로 변환시키고 있습니다. ‘파이어볼’이라는 이름의 이 악성코드는 전 세계 2억 5천만 대 이상의 컴퓨터에 영향을 미쳤습니다.

데이터 보안 기업인 체크 포인트(Check Point)는 새로운 위협을 처음 발견한 회사로, 이 악성 소프트웨어는 브라우저를 탈취하여 기본 검색 엔진과 홈페이지를 변경하고, 베이징에 본사를 둔 디지털 마케팅 회사인 라포텍(Rafotech)을 대신하여 웹 트래픽을 추적하고 광고 네트워크를 강화하도록 설계되었다고 전했습니다. 이는 금요일 WIRED에 보도되었습니다.

“라포텍은 브라우저 탈취기와 가짜 검색 엔진을 제작한다고 인정하지 않지만, 3억 명의 전 세계 사용자에게 도달한 성공적인 마케팅 에이전시라고 (자랑스럽게) 선언합니다. 이는 우리의 추정 감염 수와 우연히 비슷합니다.”라고 체크 포인트 분석가들이 블로그에 썼습니다.

설치되면, 이 소프트웨어는 사용자의 브라우저를 구글이나 야후 검색 홈페이지처럼 보이는 웹사이트로 리디렉션합니다. 가짜 페이지는 이른바 추적 픽셀을 사용하여 사용자의 개인 정보를 비밀리에 수집합니다.

이 회사는 이 악성코드가 감염된 컴퓨터에서 무단 작업을 실행하는 코드를 원격으로 실행할 수 있는 능력이 있으며, 더 많은 악성코드를 다운로드하고 궁극적으로 감염된 사용자의 웹 트래픽을 조작하여 광고 수익을 창출한다고 밝혔습니다. 이러한 사이버 스파이는 은행 및 신용 카드 자격 증명, 의료 파일, 특허 및 기타 기밀 데이터의 도난으로 이어질 수 있습니다.
“2억 5천만 대의 컴퓨터가 실제 악성코드의 희생자가 될 수 있습니다. 이 캠페인을 주도하는 중국 사람들의 손에 의해 매우 쉽게 악용될 수 있는 백도어를 모든 컴퓨터에 설치합니다.”라고 체크 포인트 연구팀의 마야 호로위츠가 말했습니다.

자신의 고객 네트워크 분석을 바탕으로 체크 포인트는 전 세계 기업 네트워크의 5분의 1이 최소한 하나의 감염이 있다고 추정했으며, 이는 기업 컴퓨터의 20%에 해당합니다. 이 새로운 악성코드는 인도에서 주요 발생을 보였으며, 그 뒤를 브라질, 멕시코, 인도네시아가 따릅니다.
“하지만 그 피해자 중 일부, 약 550만 대의 PC만이 미국에 있습니다. 인도와 브라질과 같은 국가들은 각각 2500만 대에 가까운 감염된 기계로 훨씬 더 큰 피해를 입었습니다.”라고 이 회사는 말했습니다.

여기서 주목할 점은 파이어볼이 악성코드가 아닌 광고웨어로 작동하기 때문에 합법적인 디지털 인증서를 가지고 있다는 것입니다. 파이어볼 패키지는 ‘번들링’이라는 인기 있는 광고웨어 기술을 통해 쉽게 퍼지며, 무료 소프트웨어 다운로드에 은밀하게 삽입되어 사용자의 지식 없이 또는 때로는 사용자의 승인으로 설치됩니다.

라포텍은 파이어볼을 퍼뜨리기 위해 대량으로 번들링을 사용합니다. 파이어볼에서 사용되는 두 가지 주요 유형의 번들링은 ‘딜 와이파이(Deal Wifi)’와 같은 라포텍 제품이나 ‘FVP 이미지 뷰어(FVP Imageviewer)’와 같은 무료 소프트웨어 제품입니다. 감염의 가장 분명한 징후는 브라우저가 새로운 홈페이지로 리디렉션되었다는 것입니다.

“우리의 분석에 따르면, 라포텍의 배포 방법은 불법적이며 이러한 행동이 순진하거나 합법적이라고 간주될 수 있는 기준을 따르지 않습니다.”라고 체크 포인트는 씁니다. “악성코드와 가짜 검색 엔진은 라포텍과 연결되는 지표를 가지고 있지 않으며, 일반 사용자가 제거할 수 없고, 그 진정한 성격을 숨깁니다.”

더 나아가 체크 포인트는 “파이어볼의 전체 배포는 아직 알려지지 않았지만, 이는 전 세계 사이버 생태계에 큰 위협이 된다는 것이 분명합니다. 주요 서비스 제공업체부터 중요한 인프라 운영자, 의료 기관에 이르기까지 주요 조직에 심각한 피해를 줄 수 있습니다. 잠재적인 손실은 형언할 수 없으며, 이러한 대규모 데이터 유출로 인한 피해를 복구하는 데 (가능하다 하더라도) 수년이 걸릴 수 있습니다.”라고 덧붙였습니다.

내 시스템이 감염되었는지 확인하는 방법은?

시스템이 감염되었는지 확인하려면 먼저 웹 브라우저를 열고 다음 간단한 질문에 답하십시오: 홈페이지가 당신에 의해 설정되었습니까? 수정할 수 있습니까? 기본 검색 엔진에 익숙하며 그것도 수정할 수 있습니까? 모든 브라우저 확장을 설치한 것을 기억하십니까?

이 질문 중 하나라도 ‘아니오’라면, 이는 시스템이 광고웨어에 감염되었다는 신호입니다.

감염된 경우 악성코드를 제거하는 방법은?

라포텍에서 사용하는 주요 검색 엔진 중 일부는: trotux.com, forestbrowser.om, luckysearch123.com 등입니다. 거의 모든 광고웨어를 제거하려면 다음 간단한 단계를 따르십시오:

윈도우 사용자는 Windows 제어판의 ‘프로그램 및 기능’ 목록에서 애플리케이션을 제거하여 광고웨어를 제거할 수 있습니다.

맥 OS 사용자:

Finder를 사용하여 응용 프로그램을 찾습니다.

의심스러운 파일을 휴지통으로 드래그합니다.

휴지통을 비웁니다.

참고 – 사용 가능한 프로그램이 항상 기계에 설치되어 있는 것은 아니므로 프로그램 목록에서 찾을 수 없을 수 있습니다.

다음과 같은 방법으로 기계를 스캔하고 정리하십시오:

악성코드 방지 소프트웨어 광고웨어 클리너 소프트웨어

브라우저에서 악성 애드온, 확장 또는 플러그인을 제거하십시오:

| | 구글 크롬에서: a.       크롬 메뉴 아이콘을 클릭하고 도구 > 확장 프로그램을 선택합니다. b.      의심스러운 애드온을 찾아 선택합니다. c.       휴지통 아이콘을 클릭하여 삭제합니다. | |

| | 인터넷 익스플로러에서: a.      설정 아이콘을 클릭하고 애드온 관리 선택합니다. b.      의심스러운 애드온을 찾아 제거합니다. | |

| | 모질라 파이어폭스에서: a.       파이어폭스 메뉴 아이콘을 클릭하고 도구 탭으로 이동합니다. b.       애드온 > 확장 프로그램을 선택합니다. 새 창이 열립니다. c.       의심스러운 애드온을 제거합니다. d.      애드온 관리자 > 플러그인으로 이동합니다. e.      악성 플러그인을 찾아 비활성화합니다. | |

| | 사파리에서: a.       브라우저가 활성화되어 있는지 확인합니다. b.      사파리 탭을 클릭하고 환경설정을 선택합니다. 새 창이 열립니다. c.      확장 프로그램 탭을 선택합니다. d.      의심스러운 확장 프로그램을 찾아 제거합니다. | |

인터넷 브라우저를 기본 설정으로 복원하십시오:

| | 구글 크롬에서: a.       크롬 메뉴 아이콘을 클릭하고 설정을 선택합니다. b.      시작 시 섹션에서 페이지 설정을 클릭합니다. c.      시작 페이지 목록에서 악성 페이지를 삭제합니다. d.      홈 버튼 옵션을 찾아 변경을 선택합니다. e.      이 페이지 열기 필드에서 악성 검색 엔진 페이지를 삭제합니다. f.       검색 섹션에서 검색 엔진 관리 선택합니다. g.      악성 검색 엔진 페이지를 선택하고 목록에서 제거합니다. | |

| | 인터넷 익스플로러에서: a.       도구 탭을 선택한 다음 인터넷 옵션을 선택합니다. 새 창이 열립니다. b.      고급 탭에서 재설정을 선택합니다. c.      개인 설정 삭제 상자를 체크합니다. d.      재설정 버튼을 클릭합니다. | |

| | 모질라 파이어폭스에서: a.       페이지 탭 근처의 빈 공간을 클릭하여 브라우저 메뉴 바를 활성화합니다. b.       도움말 탭을 클릭하고 문제 해결 정보를 선택합니다. 새 창이 열립니다. c.       파이어폭스 재설정을 선택합니다. | |

| | 사파리에서: a.       사파리 탭을 선택한 다음 환경설정을 선택합니다. 새 창이 열립니다. b.      개인정보 탭에서 웹사이트 데이터 관리… 버튼을 클릭합니다. 새 창이 열립니다. c.      모두 제거 버튼을 클릭합니다. | |

추가로, 안티바이러스 소프트웨어가 최신 데이터베이스로 잘 작동하고 있으며 악성코드를 감지하고 있는지 확인하십시오. 또한, 무료 소프트웨어는 광고 수익을 얻기 위해 사용될 수 있으므로 피하십시오.

악성코드에 대한 자세한 내용은 아래의 출처 링크를 클릭하여 읽을 수 있습니다.

출처: 체크 포인트