맥업데이트 사이트에 침투한 공격자들, 멀웨어 퍼트려
조금은 어설픈 멀웨어...앱 수상하다면 삭제 후 새롭게 설치해야
[보안뉴스 문가용 기자] 사이버 범죄자들이 맥킨토시 애플리케이션 다운로드 웹사이트인 맥업데이트(MacUpdate)에 침투하는 데 성공했다. 그리고 파이어폭스(Firefox), 오닉스(OnyX), 디퍼(Deeper)와 같은 애플리케이션들을 ‘악성 버전’으로 바꿔치기 해 자신들을 위한 암호화폐 채굴 코드를 퍼트렸다.
.jpg)
[이미지 = iclickart]
이러한 사실은 보안 업체 센티넬원(SentinelOne)에 의해 2월 1일 발견됐다. 센티넬원은 곧바로 이러한 사실을 해당 피해자들과 맥업데이트 측에 알렸다. 채굴 코드 멀웨어 이름은 OSX.CreativeUpdate이며, 배경에서 사용자 몰래 컴퓨터 자원을 활용해 모네로를 캐내는 것으로 알려졌다.
맥업데이트는 사과문과 함께 멀웨어 제거법을 함께 공지했다. 보안 전문가 토마스 리드(Thomas Reed)는 “오닉스와 디퍼 모두 티타니움 소프트웨어(Titanium Software)라는 업체가 만든 앱”이라며 “해당 앱들을 다운로드 받을 수 있는 titaniumsoftware.org라는 도메인 역시 1월 23일부터 침해된 상태”라고 설명한다. 가짜 파이어폭스 앱의 경우 download-installer.cdn-mozilla.net으로부터 퍼지고 있었다.
가짜 앱인줄 모르는 피해자는 해당 앱을 다운로드 받아 컴퓨터 내 애플리케이션 폴더로 드래그한다. 하지만 실제로 움직이는 건 멀웨어가 포함된 dmg 파일이다. 이 멀웨어는 새로운 폴더로 옮겨질 때마다 public.adobecc.com이라는 정상 웹사이트에서 페이로드를 다운로드 받아 설치한다. 물론 이 페이로드는 악성이 아니라 미끼일 뿐이다. 하지만 이러한 행위 자체가 멀웨어를 활성화시킨다고 한다.
하지만 리드는 “멀웨어가 제대로 작동하지 않을 때가 있다”고 말한다. “악성 오닉스 앱의 경우 맥 OS X 10.7 및 상위 버전에서 작동합니다. 그런데 미끼용 오닉스 앱은 10.13 버전에서 작동하죠. 즉 멀웨어를 가리기 위한 앱이 제대로 ‘커버’ 역할을 못한다는 겁니다. 따라서 뭔가 잘못되었다는 걸 금방 알 수 있게 되죠.”
게다가 이 멀웨어는 제거가 그리 어렵지도 않다. 리드는 “악성 앱의 행동 패턴이 정상적이지만은 않다”며 “뭔가 이상한 점을 누구라도 느낄 수 있을 정도니 파이어폭스, 오닉스, 디퍼 앱을 최근 설치한 사용자라면 해당 앱을 지우고 새로운 앱을 설치하라”고 권장한다. “앱이 아마 예상과 다르게 작동하거나, 아무리 클릭해도 작동하지 않을 겁니다. 이런 경우라면 얼른 삭제하세요.”
또한 리드는 “맥킨토시 시스템은 바이러스에 걸리지 않는다는 고정관념을 이제 완전히 버려야 한다”고 주장한다. “그런 생각 때문에 오히려 맥킨토시를 노리는 게 더 쉬워진 게 요즘입니다. 올해만 해도 벌써 맥킨토시 멀웨어가 세 번째 발견된 것이죠. OSX.MaMi와 OSX.CrossRAT 다음으로요.”
[국제부 문가용 기자(globoan@boannews.com)]
조금은 어설픈 멀웨어...앱 수상하다면 삭제 후 새롭게 설치해야
[보안뉴스 문가용 기자] 사이버 범죄자들이 맥킨토시 애플리케이션 다운로드 웹사이트인 맥업데이트(MacUpdate)에 침투하는 데 성공했다. 그리고 파이어폭스(Firefox), 오닉스(OnyX), 디퍼(Deeper)와 같은 애플리케이션들을 ‘악성 버전’으로 바꿔치기 해 자신들을 위한 암호화폐 채굴 코드를 퍼트렸다.
[이미지 = iclickart]
이러한 사실은 보안 업체 센티넬원(SentinelOne)에 의해 2월 1일 발견됐다. 센티넬원은 곧바로 이러한 사실을 해당 피해자들과 맥업데이트 측에 알렸다. 채굴 코드 멀웨어 이름은 OSX.CreativeUpdate이며, 배경에서 사용자 몰래 컴퓨터 자원을 활용해 모네로를 캐내는 것으로 알려졌다.
맥업데이트는 사과문과 함께 멀웨어 제거법을 함께 공지했다. 보안 전문가 토마스 리드(Thomas Reed)는 “오닉스와 디퍼 모두 티타니움 소프트웨어(Titanium Software)라는 업체가 만든 앱”이라며 “해당 앱들을 다운로드 받을 수 있는 titaniumsoftware.org라는 도메인 역시 1월 23일부터 침해된 상태”라고 설명한다. 가짜 파이어폭스 앱의 경우 download-installer.cdn-mozilla.net으로부터 퍼지고 있었다.
가짜 앱인줄 모르는 피해자는 해당 앱을 다운로드 받아 컴퓨터 내 애플리케이션 폴더로 드래그한다. 하지만 실제로 움직이는 건 멀웨어가 포함된 dmg 파일이다. 이 멀웨어는 새로운 폴더로 옮겨질 때마다 public.adobecc.com이라는 정상 웹사이트에서 페이로드를 다운로드 받아 설치한다. 물론 이 페이로드는 악성이 아니라 미끼일 뿐이다. 하지만 이러한 행위 자체가 멀웨어를 활성화시킨다고 한다.
하지만 리드는 “멀웨어가 제대로 작동하지 않을 때가 있다”고 말한다. “악성 오닉스 앱의 경우 맥 OS X 10.7 및 상위 버전에서 작동합니다. 그런데 미끼용 오닉스 앱은 10.13 버전에서 작동하죠. 즉 멀웨어를 가리기 위한 앱이 제대로 ‘커버’ 역할을 못한다는 겁니다. 따라서 뭔가 잘못되었다는 걸 금방 알 수 있게 되죠.”
게다가 이 멀웨어는 제거가 그리 어렵지도 않다. 리드는 “악성 앱의 행동 패턴이 정상적이지만은 않다”며 “뭔가 이상한 점을 누구라도 느낄 수 있을 정도니 파이어폭스, 오닉스, 디퍼 앱을 최근 설치한 사용자라면 해당 앱을 지우고 새로운 앱을 설치하라”고 권장한다. “앱이 아마 예상과 다르게 작동하거나, 아무리 클릭해도 작동하지 않을 겁니다. 이런 경우라면 얼른 삭제하세요.”
또한 리드는 “맥킨토시 시스템은 바이러스에 걸리지 않는다는 고정관념을 이제 완전히 버려야 한다”고 주장한다. “그런 생각 때문에 오히려 맥킨토시를 노리는 게 더 쉬워진 게 요즘입니다. 올해만 해도 벌써 맥킨토시 멀웨어가 세 번째 발견된 것이죠. OSX.MaMi와 OSX.CrossRAT 다음으로요.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
