맥 사용자 겨냥한 신종 악성코드 등장... '백도어 통해 시스템 제어하고 개인 정보 갈취'

2016. 7. 6. 23:51    작성자: ONE™

맥 사용자를 겨냥한 신종 악성코드가 발견돼 사용자들의 주의가 요구되고 있습니다.

보안 전문업체인 '비트디펜더(BitDefender)'는 최근 백도어를 통해 맥을 제어하고 개인 정보를 갈취할 가능성이 있는 악성코드 'Backdoor.MAC.Eleanor'가 발견됐다고 전했습니다. 수법도 아주 교묘한데 맥용 악성코드가 이전에 비해 더 지능적으로 변모하는 양상입니다.

이 악성코드는 'EasyDoc Converter'라는 맥용 프로그램에 포함된 형태로 유포되고 있습니다. 외형은 드래그&드롭 방식으로 오피스 문서 포맷을 변환하는 단순한 프로그램으로 보이지만, 사용자가 실제로 문서를 떨구면 백그라운드에서 스크립트가 실행되면서 맥에 웹 서버를 설치합니다. 이후 백도어를 통해 C&C 서버(Command & Control Server)와 접속하고 해커의 지령을 기다리는 것으로 알려졌습니다. 

* 악성코드가 숨겨진 'EasyDoc Converte'를 실행한 모습

비트디펜더에 따르면 이렇게 악성코드에 감염된 맥은 해커의 공격에 무방비 상태로 노출됩니다. 

백도어를 통해 맥에 침투한 해커는 맥에 저장된 파일을 임의로 수정할 수 있을 뿐 아니라 자신의 서버로 전송할 수 있습니다. 또 자바, 펄, 루비로 작성한 스크립트를 원격으로 실행하여 시스템을 제어하거나 파괴하는 등의 악의적인 명령을 실행할 수 있다고 합니다. 심지어 맥에 내장된 페이스타임 카메라로 사진을 촬영한 뒤 이를 이메일 첨부파일 형태로 전송할 수 있는 것으로 알려졌습니다. 모든 명령어는 백그라운드에서 이뤄지므로 사용자는 악성코드가 실행되고 있는 것을 인지조차 못할 수 있습니다.

게다가 맥과 C&C 서버 사이에서 통신은 분산 네트워크를 활용한 익명 통신용 도구 '토르(Tor)'를 통해 이뤄지므로 침입 흔적이 남지 않고 추적도 매우 어렵다는 게 업체의 설명입니다. 악성코드가 심어진 앱은 주로 맥업데이트(MacUpdate)와 다운로드닷컴(Download.cnet.com) 같은 유명 다운로드 사이트를 배포지로 삼고 있는 것으로 파악되었으나 구체적인 피해 사례는 아직 알려지지 않았습니다.

*해커가 맥에 설치된 웹 서버에 접속해 시스템 내부를 들여다 보는 모습

다행히 이번 소식을 전한 BitDefender와 구글이 운영하는 바이러스 검색사이트 VirusTotal, 러시아의 유명 보안 업체인 Kaspersky, 맥용 멀웨어 제거 프로그램 ClamAV, MalwareByte 등이 이 악성코드에 대응하는 업데이트를 마친 상태입니다. 해당 소프트웨어를 이용하는 분은 시스템 스캔을 통해 해당 악성코드 설치 여부를 감지하고, 만약 설치되어 있는 경우 시스템에서 격리할 수 있습니다. 애플도 맥 운영체제 자체 악성코드 차단 기능인 'XProtect'의 정의 파일을 가까운 시일 내 업데이트할 것으로 예상됩니다.

또한 위에 열거한 안티바이러스 소프트웨어를 설치하지 않아도 악성코드 감염 여부를 간단히 확인하는 방법이 있습니다.

사용자 라이브러리 폴더에 다음과 같은 이름의 파일이 존재하면 해당 악성코드에 감염된 상태입니다. (Finder에서 command + shift + G 단축키를 눌러 폴더 이동 기능을 사용하면 해당 파일의 존재 여부를 쉽게 확인할 수 있습니다. 숨겨진 파일을 확인하는 방법은 링크를 참고하시기 바랍니다. ) 한 가지 눈에 띄는 점은 클라우드 서비스인 드롭박스(Dropbox) 관련 파일로 둔갑하기 위해 파일 이름에 'dropbox'가 포함되어 있다는 점인데, 드롭박스와는 아무런 관련이 없는 파일입니다.

1. 백도어 생성 스크립트
    경로: ~/Library/.dropbox (숨김 파일)
2. 토르 히든 서비스(Tor Hidden Service) 실행
    경로: ~/Library/LaunchAgents/com.getdropbox.dropbox.integritycheck.plist 
3. 웹 서버 실행
    경로: ~/Library/LaunchAgents/com.getdropbox.dropbox.usercontents.plist
4. 토르 암호키 다운로드를 위한 PasteBin 에이전트 실행
    경로: ~/Library/LaunchAgents/com.getdropbox.dropbox.timegrabber.plist



참조
BitDefender - New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns
9to5mac - New Mac malware in the wild, Backdoor.MAC.Elanor – can steal data, execute code, control webcam

관련 글
• 맥용 트랜스미션에서 발견된 'KeRanger' 랜섬웨어 감염여부 진단과 해결방법
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'


    
  1. Blog Icon
    이현수

    제 LaunchAgents 폴더에는 그런 파일들이 없네요.
    이제 맥에도 안티바이러스 프로그램이 필요한가요? - 감사!

  2. 역시 백도어는 무섭습니다.
    좋은 정보 감사합니다.

  3. Blog Icon
    아메바

    라이브러리 이전에 있는 .드랍박스 폴더는 괜찮은가요..?

  4. Blog Icon
    uris

    드롭박스앞에 점이 하나 찍혀있네요.

  5. Blog Icon
    아이맥유저

    좋은 정보 감사합니다.


    몇일전에 OS X 다시 설치하면서 단축키 몇개 손봤는데 폴더 이동 단축키도 손봤나 했네요
    Command + G 아무리 눌러도 반응이 없길래 말이죠. 저도 Shift + Command +G로 나오네요.

  6. 원래부터 쉬프트 커맨드 g 였습니다 아마 댓쓴이가 라이트유저라 자주 안 쓰시는 키인가 보네요

  7. Blog Icon
    흑흑

    저.. 이거 파일

    1. 백도어 생성 스크립트
    경로: ~/Library/.dropbox (숨김 파일)

    찾아서 지웠습니다.ㅜㅜ
    오랫동안 이런게 제 컴터 속에 있었다는게 무섭네요.
    좋은 정보 감사합니다.

    겁나서 초기화 함 할까 합니다.

    저 숨겨져있던 파일 지우고나서 몇일 지나니까 제 메일로 이상한 편지가 왔습니다.
    제 이름을 영어로 쓰고 물음표 왔길래, 누구냐고 보내니까, 답장이,,
    자기 누드 사진 보고 싶냐고, 사진 클릭하게끔 링크 걸어서 왔길래 스펨신고 후 바로 영구 삭제했습니다. ㅜㅜ (링크는 당연히 안 누르고요.)

    질문이 있습니다.
    컴퓨터 잠자기 모드 해놓으면, 몇분에 한번씩 자동으로 윙 하고 컴퓨터가 돌아가는 소리가 들립니다. 정상인건가요 ??
    혹시 해킹하는 소리인가요 ??

    이 소리가 저 파일을 지우기 전에는 좀 오래 갔는데, 저 파일 지운 후부터는 윙 하고 몇초간 거리다 금방 꺼집니다.

    정상인건가요?

    흑흑 ㅜㅜ