* 출처는 안랩입니다.

최근 안랩이 해외 소프트웨어 배포 웹사이트에서 프록시웨어(Proxyware)가 정상 파일과 함께 다운로드되는 사례를 포착했다. 사용자가 검색 엔진을 통해 마이크로소프트 팀즈(Microsoft Teams) 설치 파일을 찾다가 비공식 배포 사이트의 ‘무료 다운로드’ 버튼을 클릭하면 정상 설치 페이지로 이동하기 전에 프록시웨어가 자동으로 저장돼 시스템에 설치된다. 겉보기엔 정상 과정처럼 보이지만, 사용자 동의 없이 네트워크 자원을 외부에 공유하는 위험한 동작이 뒤따를 수 있다. 이번 사례를 통해 비공식 소프트웨어 설치 과정에 숨은 보안 위협을 함께 살펴보자.

사용자가 비공식 배포 사이트에 접속해 팀즈 '무료 다운로드’ 버튼을 클릭할 경우, DeskRest_n.exe 파일이 시스템에 다운로드되고, 정상 팀즈 페이지로 연결된다.

이후 정상 팀즈 설치는 별다른 문제없이 진행되지만, 사용자가 인지하지 못한 채 DeskRest_n.exe를 실행하면 프록시웨어가 추가로 설치돼 백그라운드에서 동작한다. 

* 전체내용은 아래에서 확인하세요.