본문 바로가기
새소식/Mac

맥 사용자 겨냥한 신종 악성코드 등장... '백도어 통해 시스템 제어하고 개인 정보 갈취'

ONE™ 2016. 7. 6. 23:51

맥 사용자를 겨냥한 신종 악성코드가 발견돼 사용자들의 주의가 요구되고 있습니다.

보안 전문업체인 '비트디펜더(BitDefender)'는 최근 백도어를 통해 맥을 제어하고 개인 정보를 갈취할 가능성이 있는 악성코드 'Backdoor.MAC.Eleanor'가 발견됐다고 전했습니다. 수법도 아주 교묘한데 맥용 악성코드가 이전에 비해 더 지능적으로 변모하는 양상입니다.

이 악성코드는 'EasyDoc Converter'라는 맥용 프로그램에 포함된 형태로 유포되고 있습니다. 외형은 드래그&드롭 방식으로 오피스 문서 포맷을 변환하는 단순한 프로그램으로 보이지만, 사용자가 실제로 문서를 떨구면 백그라운드에서 스크립트가 실행되면서 맥에 웹 서버를 설치합니다. 이후 백도어를 통해 C&C 서버(Command & Control Server)와 접속하고 해커의 지령을 기다리는 것으로 알려졌습니다. 

* 악성코드가 숨겨진 'EasyDoc Converte'를 실행한 모습

비트디펜더에 따르면 이렇게 악성코드에 감염된 맥은 해커의 공격에 무방비 상태로 노출됩니다. 

백도어를 통해 맥에 침투한 해커는 맥에 저장된 파일을 임의로 수정할 수 있을 뿐 아니라 자신의 서버로 전송할 수 있습니다. 또 자바, 펄, 루비로 작성한 스크립트를 원격으로 실행하여 시스템을 제어하거나 파괴하는 등의 악의적인 명령을 실행할 수 있다고 합니다. 심지어 맥에 내장된 페이스타임 카메라로 사진을 촬영한 뒤 이를 이메일 첨부파일 형태로 전송할 수 있는 것으로 알려졌습니다. 모든 명령어는 백그라운드에서 이뤄지므로 사용자는 악성코드가 실행되고 있는 것을 인지조차 못할 수 있습니다.

게다가 맥과 C&C 서버 사이에서 통신은 분산 네트워크를 활용한 익명 통신용 도구 '토르(Tor)'를 통해 이뤄지므로 침입 흔적이 남지 않고 추적도 매우 어렵다는 게 업체의 설명입니다. 악성코드가 심어진 앱은 주로 맥업데이트(MacUpdate)와 다운로드닷컴(Download.cnet.com) 같은 유명 다운로드 사이트를 배포지로 삼고 있는 것으로 파악되었으나 구체적인 피해 사례는 아직 알려지지 않았습니다.

*해커가 맥에 설치된 웹 서버에 접속해 시스템 내부를 들여다 보는 모습

다행히 이번 소식을 전한 BitDefender와 구글이 운영하는 바이러스 검색사이트 VirusTotal, 러시아의 유명 보안 업체인 Kaspersky, 맥용 멀웨어 제거 프로그램 ClamAV, MalwareByte 등이 이 악성코드에 대응하는 업데이트를 마친 상태입니다. 해당 소프트웨어를 이용하는 분은 시스템 스캔을 통해 해당 악성코드 설치 여부를 감지하고, 만약 설치되어 있는 경우 시스템에서 격리할 수 있습니다. 애플도 맥 운영체제 자체 악성코드 차단 기능인 'XProtect'의 정의 파일을 가까운 시일 내 업데이트할 것으로 예상됩니다.

또한 위에 열거한 안티바이러스 소프트웨어를 설치하지 않아도 악성코드 감염 여부를 간단히 확인하는 방법이 있습니다.

사용자 라이브러리 폴더에 다음과 같은 이름의 파일이 존재하면 해당 악성코드에 감염된 상태입니다. (Finder에서 command + shift + G 단축키를 눌러 폴더 이동 기능을 사용하면 해당 파일의 존재 여부를 쉽게 확인할 수 있습니다. 숨겨진 파일을 확인하는 방법은 링크를 참고하시기 바랍니다. ) 한 가지 눈에 띄는 점은 클라우드 서비스인 드롭박스(Dropbox) 관련 파일로 둔갑하기 위해 파일 이름에 'dropbox'가 포함되어 있다는 점인데, 드롭박스와는 아무런 관련이 없는 파일입니다.

1. 백도어 생성 스크립트
    경로: ~/Library/.dropbox (숨김 파일)
2. 토르 히든 서비스(Tor Hidden Service) 실행
    경로: ~/Library/LaunchAgents/com.getdropbox.dropbox.integritycheck.plist 
3. 웹 서버 실행
    경로: ~/Library/LaunchAgents/com.getdropbox.dropbox.usercontents.plist
4. 토르 암호키 다운로드를 위한 PasteBin 에이전트 실행
    경로: ~/Library/LaunchAgents/com.getdropbox.dropbox.timegrabber.plist


참조
BitDefender - New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns
9to5mac - New Mac malware in the wild, Backdoor.MAC.Elanor – can steal data, execute code, control webcam

관련 글
• 맥용 트랜스미션에서 발견된 'KeRanger' 랜섬웨어 감염여부 진단과 해결방법
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'


저작자표시 비영리 변경금지

'새소식/Mac' Related Articles

티스토리툴바