구글 검색 피싱사이트와 수상한 Installer.dmg를 실행하게 되었는데 이게 악성코드인지, 아니면 분석가능 할지 봐 주실 수 있을까요?

안녕하세요.

​

이번에 수상한 프로그램을 실행하게 되었는데 이게 악성코드인지, 아니면 분석가능 할지 봐 주시면 감사드립니다.

​

경위는 다음과 같습니다.

​

최근에 Arc browser라는 소프트웨어를 알게 되어 설치하려고 하였습니다.

(제 환경은 맥북 m1 air, Sonoma 14.4 입니다.)

​

1. chrome 브라우저에서 google로 'arc browser'를 검색합니다.

2. 검색 결과에서 [스폰서 검색결과]로 나오는 'Arc Web Browser' 사이트를 클릭합니다.

( 브라우저에 따라 스폰서 검색결과는 최상단에 올 수도 있고(크롬), 페이지 아래(사파리)에 나타날 수도 있는 것 같습니다.)

3. 그러면 주소창에 'arcii.net' 이라는 사이트로 접속이 됩니다.

(여기서 문제가 시작됩니다. 원래 정식 Arc web browser 사이트 주소는 'arc.net' 입니다.

또 이상한 점은 구글 검색 결과에 나오는 링크의 주소를 복사하여 브라우저에 붙여넣어 접속하게 되면 정상 사이트로 접속합니다.

그래서 제가 여기에 그 링크를 바로 제공해 드릴 수가 없었습니다. 또 몇가지 실험 결과 Windows 환경에서는 정상 사이트에 접속됩니다.

또, arcii.net 를 주소창에서 접속하게 되면 error라고 표시되는 페이지가 나타납니다.)

4. 다운로드를 받기 위해 다운로드 버튼을 누르면 Installer.dmg 파일이 받아 집니다.

5. Installer.dmg 파일을 실행하면 설치 경고 화면이 발생합니다.

6. 무시하고 계속 설치하면 사용자 암호 입력 창이 발생합니다.

(이 때 암호가 틀리게 되면 입력창이 다시 나타나고, 암호를 입력하기 전까지 취소 버튼을 눌러도 취소가 되지 않습니다. )

7. 사용자 암호를 입력하게 되면 잠시 후 Error창이 뜨고 더이상 아무런 반응이 없습니다. 끝입니다.

​

아직까지는 별 의심스러운 증상은 보이지 않는데요.

여기서 Installer.dmg 파일을 분석하여 실행 시 어떤 작업을 수행하는지 알 수 있을까요?

​

몇 가지 의심점이 있었지만 부주의하게 설치를 해버려 후회가 됩니다.

이번에 걸려든게 좀 특이한 케이스라서 같이 공유하고 분석해보고 싶어서 글 올립니다.

​

감사합니다.

[관리자에 의해 제목이 수정 되었습니다.]