포스팅 내용

국내외 보안동향

[해외보안동향] 가짜 사파리 업데이트, MacKeeper와 ZipCloud 설치

가짜 사파리 업데이트, MacKeeper와 ZipCloud 설치

Fake Safari update installs MacKeeper, ZipCloud


지난 주, 사파리 업데이트로 위장한 InstallCore 인스톨러의 새로운 버전이 발견되었습니다. 이 새로운 인스톨러는 'First Row Sports'라는 스캠 스포츠 스트리밍 사이트를 방문하던 중 발견되었습니다. 스트리밍 영상을 조회하고자 누르는 순간, 사파리의 버전 업데이트를 알리는 페이지로 이동되었습니다.


‘Update Now’ 버튼을 누르니 'Apple Safari Setup.dmg'라는 이름의 디스크 이미지 파일이 다운로드되었으며, 오픈하자 익숙한 InstallCore 인스톨러 인터페이스가 표시되었습니다. 내부에는 “Welcome to Safari” 라는 메시지가 적혀있었습니다.


계속해서 설치를 진행하자 커다란 야후! 로고와 함께 사파리용 '검색 도우미' 확장 프로그램을 설치하라는 창이 표시됩니다. 다음은 MacKeeper를 설치하는 동의창이었으나, MacKeeper의 로고는 어디에서도 찾을 수 없었습니다. 마지막으로 ZipCloud를 설치하는 것에도 동의하자 MacKeeper와 ZipCloud가 자동으로 오픈되었습니다.


이후 브라우저 확장 프로그램은 설치되지 않았음에도 불구하고, 크롬 및 파이어폭스의 설정이 변경되었습니다. 두 브라우저 모두 홈페이지 및 검색 엔진이 야후 'Search BOSS' 페이지로 변경되어 있었는데, 이는 스캐머들이 야후의 지원을 받아 야후를 광고하고 있는 것으로 보여집니다.


여기서 더욱 흥미로운 점은, 이 프로그램이 실제로 새로운 버전의 사파리 및 사파리 지원 파일들을 설치한다는 점입니다. 하지만 이로 인해 10.9.5 시스템에서의 사파리가 완전히 파괴되어, 새로운 버전인 사파리 8.0.6이 OS X에서 실행될 수 없게 됩니다. 만약 해당 악성 인스톨러에 의해 피해를 입은 경우에는 즉시 MacKeeper 및 ZipCloud를 삭제한 후, OS X를 재설치해야 합니다. 이를 통해 사파리 및 지원 파일들을 새 파일로 덮어쓰기 할 수 있을 것입니다.



참고:

https://blog.malwarebytes.org/fraud-scam/2015/07/fake-safari-update-installs-mackeeper-zipcloud/



티스토리 방명록 작성
name password homepage