본문 바로가기
새소식/Mac

맥에서 '백도어' 통해 사용자 정보 수집하는 악성코드 발견

알 수 없는 사용자 2016. 9. 9. 19:51


* Image Credit: Brian Klug, Flickr

맥 운영체제를 겨냥한 취약점 소식을 전해드리는 빈도가 나날이 높아지는 것 같습니다. 맥 사용자의 각별한 주의가 요구됩니다.

보안 전문업체인 '카스퍼스키랩'은 7일 맥 OS 플랫폼을 대상으로 유포된 정교한 백도어를 발견했다고 전했습니다.

카스퍼스키 랩의 분석에 따르면 이 백도어는 지난 1월에 발견된 'Backdoor.Linux.Mokes' 백도어의 변종입니다. 해당 백도어가 처음 발견된 운영체제는 리눅스로 사용자의 컴퓨터 활동을 감시하고 이를 외부로 전송하는 등의 공격을 수행할 수 있습니다.

앞서 카스퍼스키랩은 해당 멀웨어가 크로스플랫폼 개발언어인 'Qt'로 제작되는 등 해커가 다양한 플랫폼을 공격하는 것을 작정하고 만든 것 같다면서 리눅스에 이어 다른 운영체제를 노리는 멀웨어 등장을 예상하기도 했습니다. 그런데 리눅스 환경에서 작동하던 백도어가 형태만 조금 달리해 실제로 맥 플랫폼을 타겟으로 하고 있는 것입니다. 우려하던 업체측의 예상이 현실화된 것입니다.

"Back in January this year we found a new family of cross-platform backdoors for desktop environments. After the discovery of the binaries for Linux and Windows systems, we have now finally come across the OS X version of Mokes.A. It is written in C++ using Qt, a cross-platform application framework, and is statically linked to OpenSSL. This leads to a filesize of approx. 14MB. Let’s have a look into this very fresh sample."

- Secure List, Kaspersky Labs


* Kaspersky Lab "시스템 침투 후 복사본을 만들고, 사용자 에이전트를 위장해 C&C 서버에 접속

리눅스에서 발견된 것과 같은 기능을 하지만, 맥 플랫폼에서 작동한다는 뜻에서 이 백도어는 'Backdoor.OSX.Mokes'라는 이름으로 명명됐습니다.

업체에 따르면 이 백도어에 감염된 맥은 사용자 모르게 화면을 캡쳐하거나 웹캠 등을 통해 사진, 동영상을 촬영한 뒤 이를 익명의 C&C 서버로 전송할 수 있습니다. 게다가 키보드 입력을 감지해 정보를 빼내는 '키로거' 기능도 갖고 있으며, 해커의 지령을 받아 임의의 명령을 수행하는 것도 가능하다고 합니다. 또한 C&C 서버와의 통신은 'AES-256-CBC' 방식으로 암호화되어 있어 분석이 쉽지 않다는 설명입니다.

카스퍼스키랩에 따르면 이 백도어는 정상적인 프로그램에 숨겨진 형태로 배포되고 있습니다. 이 사실을 모르는 사용자가 이 프로그램을 실행하면 악성코드가 덩달아 작동하면서 맥을 감염시키고 시스템 주요 폴더에 'plist' 형식의 복사본을 생성합니다. 악성코드 원본이 제거되더라도 다시 부활할 수 있도록 일종의 보험을 들어두는 것입니다.

업체가 밝힌 복사본 저장 경로는 다음과 같습니다. Finder에서 command +shift + G 키를 누른 후 경로를 입력했을 때 plist 파일이 발견되면 맥이 감염됐을 수 있는 것입니다. 참고로 경로 앞에 물결(~)은 시스템이나 공용 폴더가 아닌 사용자 홈 폴더를 의미합니다. 언뜻 보면 운영체제나 응용 프로그램 구동에 필수적인 파일로 보이지만 실제로는 백도어를 작동시키는 악성코드입니다.

∙ ~/Library/App Store/storeuserd.plist
∙ ~/Library/com.apple.spotlight/SpotlightHelper.plist
∙ ~/Library/Dock/com.apple.dock.cache.plist
∙ ~/Library/Skype/SkypeHelper.plist
∙ ~/Library/Dropbox/DropboxCache.plist
∙ ~/Library/Google/Chrome/nacld.plist
∙ ~/Library/Firefox/Profiles/profiled.plist

카스퍼스키랩은 맥의 인기가 꾸준히 증가하면서 맥을 대상으로 하는 악성코드도 덩달아 늘어나고 있다면서, 이를 예방하기 위해서는 출처가 의심스러운 프로그램이나 수상한 첨부파일은 절대 실행하지 않아야 한다고 당부했습니다. 뻔한 얘기지만 기본적인 것을 지키는 습관이 중요하다는 것을 상기해야 할 듯합니다.

한편, 전세계 백신 엔진을 비교 검색해 주는 '바이러스토탈(virustotal)'에 따르면 카스퍼스키와 비트디펜더를 비롯한 대부분의 맥용 안티바이러스 소프트웨어가 해당 백도어에 대응하는 업데이트를 완료한 것으로 나타났습니다.


참조
Kaspersky Labs - Sophisticated OS X Backdoor Discovered
Virus Total - OSX_Mokes

관련 글
비트토렌트 클라이언트 'Transmission', 또다시 악성코드 유포 통로로 악용돼
맥용 멀웨어 감지 툴 'Malwarebytes Anti-Malware' 업데이트
맥 사용자 겨냥한 새로운 악성코드 유포 주의... '이번에는 사진으로 위장'

저작자표시 비영리 변경금지

'새소식/Mac' Related Articles

티스토리툴바