맥 사용자 겨냥한 새로운 악성코드 유포 주의... '이번에는 사진으로 위장'

2016. 7. 7. 13:19    작성자: ONE™

맥은 윈도우즈보다 악성코드에서 안전하다는 인식이 높습니다. 하지만 최근 맥 사용자가 가파르게 증가하면서 맥 운영체제를 노리는 악성코드 역시 점차 증가하는 추세인데요. 어제 맥용 응용 프로그램으로 위장한 악성코드가 발견됐다는 소식이 나온 데 이어, 오늘은 이미지 파일로 위장한 악성코드가 발견됐다는 소식입니다.

보안 업체 'ESET'은 6일(현지시각) 이미지 파일로 위장해 키체인에 저장된 개인 정보 등을 가로채는 신종 악성코드가 발견됐다고 발표했습니다.

'OSX/Keydnap'으로 불리는 이 악성코드는 겉에서 보면 영락 없는 이미지 파일과 다를 게 없습니다. 확장자가 JPG로 되어 있고, 대표 아이콘도 이미지 파일로 표시돼 사용자들이 무심결에 열어보도록 유도합니다. 하지만 확장자 끝을 자세히 보면 JPG 뒤에 공백이 한칸 더 띄어져 있고, 대표 아이콘도 덧씌워진 것일 뿐입니다. 이미지 파일은 응용 프로그램에 비해 악성코드에 안전하다는 점을 노린 것입니다. 실제로 이 파일은 터미널을 통해 악의적인 동작을 수행할 수 있는 실행파일(unix executable)입니다


* JPG 파일로 위장한 유닉스 명령어.

이 같은 부분을 눈치 채지 못한 사용자가 파일을 실행하면 이미지를 보여주기는 합니다. 하지만 이미지가 열리기 직전 찰나에 일련의 명령어를 실행하여 시스템에 악성코드 심고 백도어를 설치합니다.

이후 악성코드는 맥의 시리얼 번호와 UUID, 운영체제 버전, 외부 IP 주소 등을 백도어를 통해 전송하며, 심지어 앞서 보안 연구가들에 의해 개념 증명이 이뤄진 키체인 덤프(Keychaindump) 매커니즘을 이용해 사용자의 키체인으로부터 데이터를 빼내고 이를 해커에 전달할 수 있는 것으로 알려졌습니다. 만약 맥의 메모리 공간에 키체인 마스터키 정보가 저장되어 있으면, 이 역시 같이 전송돼 덤프된 데이터 해독에 이용될 수 있다는 게 업체의 설명입니다.


* Keydnap 악성코드가 수행할 수 있는 기능 목록. 초록색은 Keychaindump에 포함된 명령

ESET는 "멀쩡하게 보이는 사진을 내려받고 여는 것만으로도 원격에서 파일을 훔칠 수 있는 가능성이 열리게 된다"며 악성코드의 위험성이 우려된다고 말했습니다. 특히 민감한 개인 정보와 비밀번호까지 유출될 가능성이 있어 큰 재앙을 초래할 수 있다고 보고 있습니다.

악성코드로 인한 피해사례나 주요 배포 경로는 아직 파악되지 않았습니다. 하지만 언제든 인터넷 웹사이트를 통해 공유되는 파일이나 이메일 첨부 파일 형태로 확산될 가능성이 있다며 맥 사용자들의 각별한 주의를 당부했습니다. 또 이번에는 이미지 파일로 위장했지만, 다음에는 음악 파일이나 텍스트 파일로 위장한 악성코드가 출현할 수 있다고 전망했습니다. 이번 악성코드에 대한 기술적인 부분이나 그 외 자세한 내용은 ESET 사이트를 통해 확인하실 수 있습니다.


* 시스템 환경설정 > 보안 및 개인 정보 보호 > 일반에서 'App Store 및 확인된 개발자

다행히 겉으로는 사진이나 음악, 텍스트 파일로 위장했더라도 어디까지나 실행 파일이기 때문에 '게이트키퍼(GateKeeper)'를 켜놓는 것 만으로 이 악성코드에 대비할 수 있습니다. 

게이트키퍼는 애플이 OS X 라이언에 도입한 보안 기능으로, 애플이 제공하는 개발자ID를 통해 인증을 받은 앱만 실행을 허용합니다. 사진이나 음악, 문서 같은 파일은 게이트키퍼에 의해 차단되지 않습니다. 따라서 이미지나 음악 파일을 열었는데 아래와 같이 확인되지 않은 개발자가 배포했다는 경고가 나타난다면, 악성코드가 심어진 파일로 의심할 필요가 있습니다.


* 사진을 열었는데 경고문이 나타난다면 의심부터!



참조
ESET - New OSX/Keydnap malware is hungry for credentials

관련 글
• 맥 사용자 겨냥한 신종 악성코드 등장... '백도어 통해 시스템 제어하고 개인 정보 갈취'
• 애플 맥 사용자 목표로 한 첫 랜섬웨어 등장... 맥용 토렌트 클라이언트 '트랜스미션' 통해 유포
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과

    
  1. Blog Icon
    맥프레^^

    좋은 정보 감사합니다. 또 배워 갑니다~

  2. Blog Icon
    aaapple

    정말 수법들도 다양하네요. 이건 GateKeeper 없었다면 그냥 당하기 일수였겠네요.
    좋은 정보 감사합니다!

  3. Blog Icon
    dd

    이젠 이미지 파일도 의심해야 하나 걱정하면서 읽었는데 게이트키퍼로 걸러낼 수 있다니 다행이네요

  4. Blog Icon
    n

    끔찍하네요. 그런데 어찌 .jpg공백 확장자가 터미널 명령어를 실행하는지 궁금하네요.

  5. Blog Icon
    seonguki

    윈도우는 파일 확장자가 exe 면 실행파일이지만

    UNIX 계열 운영체제는
    파일에 실행권한을 할당하면 실행가능합니다.

    즉, 본문의 'screenshot.jpg ' 파일은 이미지가 아닌
    실행권한이 할당된 프로그램 파일입니다.
    참고하세요~

  6. Blog Icon
    KANO

    확장자는 눈속임이고 Open with (다음으로 열기)가 터미널로 되어 있어

    터미널로 실행 되며 해당 프로그램 내에서 명령어를 입력, 실행 시키게 설계되어있는거 같습니다.