윈도우용 악성코드, Mac 환경에서 작동하도록 변형되어 발견

[보안뉴스 민세아] 윈도우용 악성코드가 맥(Mac) 악성코드로 변경된 샘플이 발견됐다. 윈도우와 달리 안전하다고 생각했던 Mac 사용자들이 사이버 범죄자들의 새로운 목표가 되고 있다.



▲ 이젠 더 이상 싱싱한 사과만은 기대할 수 없게 됐다.   
이는 보안솔루션 전문업체인 파이어아이(FireEye)의 연구원에 의해 발견됐는데, 파이어아이 측은 GREF라는 범죄그룹이 최근 Mac OS X를 대상으로 하는 XSLCmd 백도어 프로그램 변종을 사용하는 것을 발견했다고 전했다.

GREF는 전세계적으로 전자제품 및 엔지니어링 분야의 기업, 재단에 대해 사이버 스파이 공격을 수행하는 것으로 알려져 있다. 또한, XSLCmd는 리버스 쉘을 열 수 있는 기능을 가지고 있으며, 목록과 파일을 전송하고 감염 컴퓨터에 대해 추가적인 악성코드를 설치 할 수 있는 악성코드다.

해당 악성코드가 Mac PC에 설치가 되면 /Library/Logs/clipboardd와 $HOME/Library/LaunchAgents/clipboardd에 자신을 복사하고 시스템을 재부팅한다. 자동 재실행 및 기능 수행을 위해 com.apple.service.clipboardd.plist 파일 등 아래와 같은 파일을 생성한다.


▲생성파일 목록


이와 관련한 자세한 사항은 한국인터넷진흥원 침해대응센터 홈페이지나 아래 웹사이트를 참고하면 된다.

[출처]
1. http://thehackernews.com/2014/09/cyber-espionage-group-ported-windows.html
2. http://www.fireeye.com/blog/technical/malware-research/2014/09/forced-to-adapt-xslcmd-backdoor-now-on-os-x.html

[용어정리]
리버스 쉘(Reverse shell) : 피해자 클라이언트쪽에서 공격자 서버쪽으로 접속 하도록 하는 것
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>