CPU와 배터리 빨리 닳는 현상, 일부 사용자들로부터 보고돼
XM리그라는 오픈소스 채굴 코드 통한 악성 행위 발견돼
[보안뉴스 문가용 기자] 여러 맥 사용자들이 지난 주 이상 현상을 보고하기 시작했다. mshelper라는 프로세스가 CPU 파워를 많이 소모시킨다는 내용이었다. 이 때문에 배터리도 빨리 닳는다고 했다. 조사를 진행해보니 해당 프로세스가 모네로 암호화폐를 채굴하는 데 사용되고 있었다는 게 밝혀졌다.
[이미지 = iclickart]
보안 업체 멀웨어바이츠(Malwarebytes)가 이 문제를 분석했다. 아직 mshelper에 삽입된 멀웨어가 어떤 식으로 피해자 시스템에 접근하는지 정확하게 밝혀지지는 않았지만, 아마도 가짜 플래시 플레이어 설치 파일을 통했을 가능성이 높다고 보고 있다. “악성 문서나 해적판 소프트웨어를 통한 배포 역시 높은 가능성을 가지고 있습니다. 즉 대단히 고차원적인 침투 방법이 사용된 것으로 보이지는 않는다는 겁니다.”
또한 멀웨어바이츠는 분석 과정 중에 pplauncher라는 이름을 가진 파일을 발견했다. 이 파일은 com.pplauncher.plist라는 런치 데몬에 의해 항상 활성화 상태가 유지되어 있었는데, “이는 드로퍼가 시스템 내 루트 권한을 가지고 있었을 가능성이 높다는 뜻”이라고 한다. pplauncher는 고 언어로 개발됐고, 3.5Mb로 꽤나 큰 용량을 가지고 있었다.
“고 언어를 사용하면 오버헤드 현상이 심화됩니다. 그래서 하나의 바이너리 파일에 2만 3천개가 넘는 함수가 포함됩니다. 누가 만들었는지는 모르겠지만 이 pplauncher를 최초로 만든 사람은 매킨토시 시스템을 그리 잘 알고 있는 것으로 보이지는 않습니다.” 멀웨어바이츠의 토마스 리드(Thomas Reed)의 설명이다.
아무튼 이 pplauncher는 mshelper 프로세스를 생성한다. 그러면 기기는 모네로를 채굴하기 시작한다. 당연히 채굴된 돈은 전부 pplauncher의 배포자에게로 간다. 채굴 기능 자체는 합법적인 오픈소스 채굴 코드인 XM리그(XMRig)로 실행된다.
“XM리그 자체는 그리 위험한 코드가 아닙니다. 물론 과도하게 사용하면 팬 등이 고장나고 시스템 과열 현상이 발생할 수 있지만 말입니다. mshelper 프로세스 역시 크게 위험하거나 대단히 악성적인 특성을 가지고 있지는 않습니다. 하지만 많은 사용자가 불평하듯, 배터리가 과열되고 컴퓨터가 빨리 소모되긴 하죠. 그러므로 반드시 제거해야 합니다. 위험하든 안 하든 말이죠.”
크게 위험하지 않다거나 정상 소프트웨어가 사용됐다는 건, 낮은 탐지율과 같은 현상으로 나타난다. 실제로 피해자들은 백신 소프트웨어가 탐지를 하지 못하거나 완전 삭제에 실패했다고 보고하고 있다. 또한 컴퓨터 리부트 이후에도 그대로 남아있었다고 한다. 하지만 이제 해당 소식이 전파되고 있으니 백신 소프트웨어 업체들이 업데이트를 조만간 발표할 것으로 보인다.
“업데이트가 발표될 때까지 사용자들은 두 가지 파일을 삭제함으로써 mshelper의 채굴을 막을 수 있습니다. 하나는 /Library/LaunchDaemons/com.pplauncher.plist이고 다른 하나는 /Library/Application Support/pplauncher/pplauncher입니다. 맥 시스템 사용자라면 이 두 가지 파일의 존재 유무를 확인하고 반드시 삭제하시기 바랍니다.”
맥 환경에 암호화폐 채굴 코드의 활동이 발견된 건 이번이 처음이 아니다. 멀웨어바이츠는 지난 2월에도 맥 환경에서 작동하는 모네로 채굴 멀웨어를 발견한 바 있다. 당시 채굴 멀웨어는 MacUpdate 웹사이트를 통해 배포됐다.
[국제부 문가용 기자(globoan@boannews.com)]
XM리그라는 오픈소스 채굴 코드 통한 악성 행위 발견돼
[보안뉴스 문가용 기자] 여러 맥 사용자들이 지난 주 이상 현상을 보고하기 시작했다. mshelper라는 프로세스가 CPU 파워를 많이 소모시킨다는 내용이었다. 이 때문에 배터리도 빨리 닳는다고 했다. 조사를 진행해보니 해당 프로세스가 모네로 암호화폐를 채굴하는 데 사용되고 있었다는 게 밝혀졌다.
[이미지 = iclickart]
보안 업체 멀웨어바이츠(Malwarebytes)가 이 문제를 분석했다. 아직 mshelper에 삽입된 멀웨어가 어떤 식으로 피해자 시스템에 접근하는지 정확하게 밝혀지지는 않았지만, 아마도 가짜 플래시 플레이어 설치 파일을 통했을 가능성이 높다고 보고 있다. “악성 문서나 해적판 소프트웨어를 통한 배포 역시 높은 가능성을 가지고 있습니다. 즉 대단히 고차원적인 침투 방법이 사용된 것으로 보이지는 않는다는 겁니다.”
또한 멀웨어바이츠는 분석 과정 중에 pplauncher라는 이름을 가진 파일을 발견했다. 이 파일은 com.pplauncher.plist라는 런치 데몬에 의해 항상 활성화 상태가 유지되어 있었는데, “이는 드로퍼가 시스템 내 루트 권한을 가지고 있었을 가능성이 높다는 뜻”이라고 한다. pplauncher는 고 언어로 개발됐고, 3.5Mb로 꽤나 큰 용량을 가지고 있었다.
“고 언어를 사용하면 오버헤드 현상이 심화됩니다. 그래서 하나의 바이너리 파일에 2만 3천개가 넘는 함수가 포함됩니다. 누가 만들었는지는 모르겠지만 이 pplauncher를 최초로 만든 사람은 매킨토시 시스템을 그리 잘 알고 있는 것으로 보이지는 않습니다.” 멀웨어바이츠의 토마스 리드(Thomas Reed)의 설명이다.
아무튼 이 pplauncher는 mshelper 프로세스를 생성한다. 그러면 기기는 모네로를 채굴하기 시작한다. 당연히 채굴된 돈은 전부 pplauncher의 배포자에게로 간다. 채굴 기능 자체는 합법적인 오픈소스 채굴 코드인 XM리그(XMRig)로 실행된다.
“XM리그 자체는 그리 위험한 코드가 아닙니다. 물론 과도하게 사용하면 팬 등이 고장나고 시스템 과열 현상이 발생할 수 있지만 말입니다. mshelper 프로세스 역시 크게 위험하거나 대단히 악성적인 특성을 가지고 있지는 않습니다. 하지만 많은 사용자가 불평하듯, 배터리가 과열되고 컴퓨터가 빨리 소모되긴 하죠. 그러므로 반드시 제거해야 합니다. 위험하든 안 하든 말이죠.”
크게 위험하지 않다거나 정상 소프트웨어가 사용됐다는 건, 낮은 탐지율과 같은 현상으로 나타난다. 실제로 피해자들은 백신 소프트웨어가 탐지를 하지 못하거나 완전 삭제에 실패했다고 보고하고 있다. 또한 컴퓨터 리부트 이후에도 그대로 남아있었다고 한다. 하지만 이제 해당 소식이 전파되고 있으니 백신 소프트웨어 업체들이 업데이트를 조만간 발표할 것으로 보인다.
“업데이트가 발표될 때까지 사용자들은 두 가지 파일을 삭제함으로써 mshelper의 채굴을 막을 수 있습니다. 하나는 /Library/LaunchDaemons/com.pplauncher.plist이고 다른 하나는 /Library/Application Support/pplauncher/pplauncher입니다. 맥 시스템 사용자라면 이 두 가지 파일의 존재 유무를 확인하고 반드시 삭제하시기 바랍니다.”
맥 환경에 암호화폐 채굴 코드의 활동이 발견된 건 이번이 처음이 아니다. 멀웨어바이츠는 지난 2월에도 맥 환경에서 작동하는 모네로 채굴 멀웨어를 발견한 바 있다. 당시 채굴 멀웨어는 MacUpdate 웹사이트를 통해 배포됐다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.png)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
