맥용 비트토렌트 클라이언트 'Transmission', 또다시 악성코드 유포 통로로 악용돼

2016.08.31 02:51    작성자: ONE™

지난 3월 랜섬웨어가 발견돼 한 차례 홍역을 치른 '트랜스미션(Transmission)'에서 또다시 악성코드가 발견돼 해외유저들의 지탄을 받고 있습니다.

미 IT매체 맥루머스는 인기 비트토렌트 클라이언트인 트랜스미션에 악성코드가 숨어 있었다고 보도했습니다. 맥 사용자를 겨냥한 랜섬웨어가 발견된지 5개월 만에 또 다른 악성코드 감염 사실이 확인된 것입니다.

이 같은 사실은 유럽의 보안 전문업체인 'ESET'에 의해 처음 발견됐습니다.

ESET은 트랜스미션 공식 웹사이트에서 8월 29일에 배포된 트랜스미션 2.92 버전에서 치명적인 악성코드가 심겨 있었다며 트랜스미션 사용자들에게 각별한 주의를 당부했습니다. 맥이 'OSX/Keydnap'으로 명명된 이 멀웨어에 감염되면 익명의 토르 네트워크를 통해 C&C(Command & Control) 서버에 접속해 악의적인 명령을 수행하며, 이를 통해 데이터를 파괴하거나 키체인에 저장된 개인정보 유출 등의 피해를 초래할 수 있습니다.

이번에 발견된 악성코드가 특히 위험한 점은 앞서 발견된 랜섬웨어 'KeRanger'와 마찬가지로 적법한 디지털 서명을 포함하고 있어 맥 운영체제의 보안 기능인 '게이트키퍼(GateKeeper)에 의해 걸러지지 않는다는 점입니다. 즉, 트랜스미션을 설치하는 것만으로 사용자도 모르게 악성코드가 설치되고 작동할 수 있습니다. 또한 KeRanger와 작동 매커니즘이 거의 같아 5달 전처럼 랜섬웨어(중요파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 악성코드)로 작용할 가능성도 배제할 수 없습니다.


* Transmission 메인 기능에 드롭(drop)된 OSX/Keydnap 악성코드

이에 ESET 측은 애플은 물론 트랜스미션 개발진에도 악성코드 발견 사실을 통보했다고 밝혔습니다. 통보를 받은 트랜스미션 개발팀 역시 악성코드가 포함된 인스톨러를 29일 웹사이트에서 바로 제거했다고 공지했습니다. 다만, 이번 악성코드가 어떤 경로로 어떻게 유입되었는지는 명확히 알려지지 않고 있습니다. 트랜스미션 개발팀이 의도했든 그렇지 않든 결과적으로 또다시 악성코드를 배포하는 중개 역할을 한 셈입니다. 다행히 초기 대응으로 피해사례나 우려할 만한 일은 아직 보고되지 않았습니다.

According to the signature, the application bundle was signed on August 28th, 2016, but it seems to have been distributed only the next day. Thus, we advise anyone who downloaded Transmission v2.92 between August 28th and August 29th, 2016, inclusively, to verify if their system is compromised by testing the presence of any of the following file or directory:

∙ /Applications/Transmission.app/Contents/Resources/License.rtf
∙ /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
∙ ~/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
∙ ~/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
∙ ~/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
∙ ~/Library/LaunchAgents/com.geticloud.icloud.photo.plist
∙ /Library/Application Support/com.apple.iCloud.sync.daemon

- ESET Research

만약 한국시각으로 8월 28일에서 30일 사이 트랜스미션 공식 웹사이트에서 2.92 버전을 받은 분이 있다면 설치 디스크 이름을 먼저 확인해 보시기 바랍니다. 악성코드가 심겨진 디스크 이미지 이름은 'Transmission2.92.dmg'이며, 악성코드가 제거된 디스크 이미지의 이름은 'Transmission-2.92.dmg'입니다. (설치 디스크 이름에 하이픈(-)이 포함돼 있습니다.) 만약 악성코드가 포함된 디스크 이미지를 내려받은 경우 추가적으로 응용 프로그램 폴더에 있는 트랜스미션 실행 파일과 함께 상기 경로에 해당 파일이 있는지 확인해야 합니다.

상기 경로에 파일이 하나라도 발견되면 맥이 악성코드에 감염된 것이므로 발견 즉시 삭제해야 합니다. 일부 파일은 마치 운영체제에 원래 포함된 파일인 것처럼 이름을 위장하고 있다는 점도 눈여겨 볼 부분입니다. (Finder에서command +shift + G 단축키를 이용하면 해당 파일을 쉽게 확인할 수 있습니다. 기본적인 조치를 취한 후 추가로 안티바이러스 프로그램을 실행하여 다른 악성코드가 있는지 검사해 보는 것도 좋은 방법입니다.



참조
ESET Research - OSX/Keydnap spreads via signed Transmission application /via MacRumors

관련 글
애플 맥 사용자 목표로 한 첫 랜섬웨어 등장... 맥용 토렌트 클라이언트 'Transmission' 통해 유포
맥용 트랜스미션에서 발견된 'KeRanger' 랜섬웨어 감염여부 진단과 해결방법
랜섬웨어에 감염된 맥용 트랜스미션 다운로드 건수는 6,500회
Tom's Guide 선정, 2016 베스트 맥용 안티바이러스 소프트웨어

저작자 표시 비영리 변경 금지
신고
    
  1. Blog Icon
    ZUN

    ;;귀중한 정보 감사합니다. 찾아봤는데 저는 일단 해당없는 것 같네요. 그래도 혹시 몰라서 추가적인 검사를 해볼 생각입니다.

  2. Blog Icon
    김군

    지난주에 맥북 새로 세팅하면서 트랜스미션 깐 적이 있어서 놀란 마음에 검사해 봤는데 다행히 잘 피해간 것 같네요. 아무튼 제목보고 10년 감수했습니다.

  3. Blog Icon
    Skrillex

    아...정말 트렌스미션 사용자로써 자꾸 이런일이 터지니 불안해서 못쓰겠군요...
    유토렌트쓰다가 넘어왔는데.. 안좋은 사건들만 계속 터지네요..
    혹시 트렌스미션,유토렌트 말고 추천해주실만한 맥용 토렌트프로그램이 있으신가요?

  4. Blog Icon
    Skrillex

    추천감사드립니다. 이것도 괜찮네요.^^
    덕분에 트렌스미션지우고 쓰게 됐습니다.
    감사합니다~~

  5. Blog Icon
    타코야

    Deluge 는 어떤가요?
    외국 리뷰 평이 좋던데 혹시 써보셨나요?

  6. QB는 윈도우에선 참 좋았는데
    맥용은 시드파일 여러개 추가하면
    먹통이 되더군요.

    정확히 말하면 파일 추가 창 뜨고 그 위에 다른 파일 추가창 떴는데 포커스가 뒤에창에 걸려서
    확인이 눌러지 않는 현상이 발생합니다.

    이거 때문에 못쓰겠네요.
    혹시 해결방안 아시는지요?

  7. Blog Icon
    Zen

    홈페이지에서 다운로드받지 않고 자동업데이트 된 것도 문제가 있을까요?

  8. Blog Icon
    트랜스미션

    저도 이게 궁금하네요.

  9. 현재로서는 28~29일 사이에 디스크 이미지(DMG)에 담겨 배포된 버전에만 악성코드가 있는 것으로 알려져 있습니다.

    그래도 걱정이 되신다면 다음 명령어를 터미널에 입력해 보시기 바랍니다.

    codesign -dvvv /Applications/Transmission.app

    명령어를 입력했을 때
    Authority=Developer ID Application 항목이
    Digital Ignition LLC 로 표시되면 멀웨어가 없는 정상적인 Transmission 이고,

    Authority=Developer ID Application 항목이
    Shaderkin Igor (836QJ8VMCQ)로 표시되면 멀웨어에 감염된 Transmission 이라고 합니다.

    참고 스크린샷:
    http://d.pr/i/pMXX

  10. Blog Icon
    산들바람

    답변 아주 감사합니다. 덕분에 문제 없이 넘어 갈 수 있게 되었습니다.

  11. Blog Icon
    로직유저

    처음엔 실수인가 했는데 이번엔 의도한듯..
    거의 10여년간 잘 쓰떤 앱이었는데 이젠 이별을 고 할 때가 되었네요
    윗분 말씀처럼 큐빗으로 옮겨 탑니다..

  12. Blog Icon
    호호

    Folx 사용하고 있는데 너무 좋네요 ^^

  13. Blog Icon
    folx

    앗 folx 사용하는 분이 또 계셨군요! 저도 아주 잘 쓰고 있습니다

  14. Blog Icon
    비투

    유토렌트는 너무 자주 튕겨서, 비트토렌트가 좋더라고요

  15. Blog Icon
    욱님

    진짜 일부로 그러는거 같네요...

  16. Blog Icon
    envy

    확인되지 않는 개발자가 배포했기 때문에 열 수 없다고 해서 qbttorrent가 설치되지가 않아요. 방법 아시는 분 알려주세요.

  17. Blog Icon
    박상우

    참.. 불안해서.. 어디 이 어플 쓰겠나요..!... 이놈아들이 병주고 약주는거 아닌지....도리어 의심이 간다는..

  18. Blog Icon
    seica

    1) 큐비트 토렌트 설치하기: qbittorrent.app 파일을 응용 프로그램 폴더에 떨구기
    2) 확인되지 않은 개발자라고 까칠하게 튕기지 않게 하기: 떨군 파일을 control 누르고 우클릭해서 열기
    3) 실행할 때 마다 들어오는 연결 허용할거냐고 묻지 않게 하기: 터미널에 아래 커맨드 세 줄을 차례대로 입력 ($기호는 제외)
    $ sudo codesign --force --deep --sign - /Applications/qbittorrent.app
    $ sudo codesign -dvvvv /Applications/qbittorrent.app
    $ sudo codesign --verify -vv /Applications/qbittorrent.app
    4) 끝

티스토리 툴바