.gif)
두 가지 오픈소스인 엠파이어와 XM리그 기능 포함하고 있어
시스템 느려지는 것 외에 실질적인 피해 없지만 추가 공격 가능성 높아
[보안뉴스 문가용 기자] 최근 발견된 맥용 멀웨어가 두 가지 오픈소스 프로그램의 결합으로 탄생한 것이라는 걸 보안 업체 멀웨어바이츠(Malwarebytes)의 연구원들이 발견했다. 이 멀웨어는 다스마이너(DarthMiner)로, 현재 어도비 지(Adobe Zii)라는 애플리케이션으로 위장해 퍼지고 있다고 한다.
[이미지 = iclickart]
어도비 지는 어도비에서 만든 여러 제품들의 해적판을 지원하는 프로그램이다. 그러나 다스마이너가 위장한 어도비 지는 이러한 본연의 기능을 전혀 가지고 있지 않다. 심지어 보통의 어도비 지가 차용하고 있는 어도비 크리에이티브 클라우드(Adobe Creative Cloud) 로고도 사용하지 않고 있다. 즉 스스로가 가짜라는 걸 굳이 숨기려고 들지도 않는 것이다.
이 가짜 어도비 지 애플리케이션은 셸 스크립트를 실행시키도록 설계가 되어 있다. 셸 스크립트는 실행과 함께 파이선 스크립트를 다운로드 받아 실행시킨다. 그런 후 sample.app이라는 앱을 다운로드 받아 실행시키는데, 이 앱이 어도비 지처럼 보이는 화면을 띄운다. 그 뒤로 악성 행위가 몰래 진행된다.
위에서 다운로드 된 파이선 스크립트는 리틀 스니치(Little Snitch)라는 방화벽의 존재 유무를 먼저 확인한다. 리틀 스니치가 발견되면 감염을 중단한다. 하지만 없다면 다음 단계로 넘어간다. 바로 엠파이어(EmPyre)라는 백도어를 백엔드에 연결시키는 것이다. 이 백도어는 임의의 명령을 실행해주는 기능을 가지고 있다. 엠파이어는 또 다른 스크립트를 다운로드 받는데, 이 스크립트 역시 멀웨어의 또 다른 요소들을 외부에서부터 가져오는 역할을 담당한다. 이 과정에서 런치 에이전트(launch agent)를 생성해 공격 지속성을 확보한다.
이러한 공격이 한쪽에서 착착 진행되는 와중에 다른 한쪽에서는 XM리그(XMRig)라는 암호화폐 채굴 멀웨어가 심기기도 한다. 역시 런치 에이전트가 같이 생성돼 XM리그 프로세스가 지속적으로 돌아가도록 한다.
심지어 루트 인증서를 다운로드 받아 설치하는 과정도 발견됐다. 이는 암호화된 트래픽을 포함해 웹 트래픽을 중간에서 가로채기 위함으로 보인다. 다만 이 기능을 실행하는 부분은 코드에서 ‘코멘트 처리’되어 기능이 실제적으로 발동되지는 않는다.
현재 다스마이너가 실제적으로 입히는 피해는 그리 크지 않은 것으로 보인다. 멀웨어바이츠는 “실제적으로는 시스템이 조금 느려지는 정도가 현재까지 밝혀진 피해”라고 설명한다. 다만 백도어가 시스템에 열리게 되는 것이므로 추가 공격이 이어질 가능성은 결코 낮다고 볼 수 없다고 경고하기도 했다. “공격자들로부터 온 페이로드가 추가로 발견되기 전까지 공격자의 의도를 다 파악하기는 힘듭니다.”
멀웨어바이츠는 “해적판 소프트웨어가 유통되는 생태계도 공격자들에게 악용될 수 있다는 게 이번 발견의 주안점”이라고 강조한다. “물론 불법 콘텐츠 유통을 통한 멀웨어 확산이 어제 오늘 일은 아닙니다. 하지만 사용자들은 그런 사실을 무시하는 게 보통입니다. 어도비 지라면 해적판 사용자들 사이에서 꽤나 널리 알려진 것이라, 이번 사건이 경고 역할을 할 수 있지 않을까 기대합니다.”
그러면서 멀웨어바이츠는 “해적판 소프트웨어를 사용하는 건 스스로에게 도움이 되지 않는 길”이라며 “소프트웨어 가격이 피해 복구 가격보다 훨씬 낮다는 걸 이해할 필요가 있다”고 지적했다.
3줄 요약
1. 최근 발견된 맥용 멀웨어, 어도비 지라는 해적판 지원 프로그램 통해 퍼지고 있음.
2. 맥 시스템에 백도어를 설치하는 것만 아니라 암호화폐 채굴 코드도 심음.
3. 해적판 소프트웨어의 위험성이 드러나는 사례.
[국제부 문가용 기자(globoan@boannews.com)]
시스템 느려지는 것 외에 실질적인 피해 없지만 추가 공격 가능성 높아
[보안뉴스 문가용 기자] 최근 발견된 맥용 멀웨어가 두 가지 오픈소스 프로그램의 결합으로 탄생한 것이라는 걸 보안 업체 멀웨어바이츠(Malwarebytes)의 연구원들이 발견했다. 이 멀웨어는 다스마이너(DarthMiner)로, 현재 어도비 지(Adobe Zii)라는 애플리케이션으로 위장해 퍼지고 있다고 한다.
[이미지 = iclickart]
어도비 지는 어도비에서 만든 여러 제품들의 해적판을 지원하는 프로그램이다. 그러나 다스마이너가 위장한 어도비 지는 이러한 본연의 기능을 전혀 가지고 있지 않다. 심지어 보통의 어도비 지가 차용하고 있는 어도비 크리에이티브 클라우드(Adobe Creative Cloud) 로고도 사용하지 않고 있다. 즉 스스로가 가짜라는 걸 굳이 숨기려고 들지도 않는 것이다.
이 가짜 어도비 지 애플리케이션은 셸 스크립트를 실행시키도록 설계가 되어 있다. 셸 스크립트는 실행과 함께 파이선 스크립트를 다운로드 받아 실행시킨다. 그런 후 sample.app이라는 앱을 다운로드 받아 실행시키는데, 이 앱이 어도비 지처럼 보이는 화면을 띄운다. 그 뒤로 악성 행위가 몰래 진행된다.
위에서 다운로드 된 파이선 스크립트는 리틀 스니치(Little Snitch)라는 방화벽의 존재 유무를 먼저 확인한다. 리틀 스니치가 발견되면 감염을 중단한다. 하지만 없다면 다음 단계로 넘어간다. 바로 엠파이어(EmPyre)라는 백도어를 백엔드에 연결시키는 것이다. 이 백도어는 임의의 명령을 실행해주는 기능을 가지고 있다. 엠파이어는 또 다른 스크립트를 다운로드 받는데, 이 스크립트 역시 멀웨어의 또 다른 요소들을 외부에서부터 가져오는 역할을 담당한다. 이 과정에서 런치 에이전트(launch agent)를 생성해 공격 지속성을 확보한다.
이러한 공격이 한쪽에서 착착 진행되는 와중에 다른 한쪽에서는 XM리그(XMRig)라는 암호화폐 채굴 멀웨어가 심기기도 한다. 역시 런치 에이전트가 같이 생성돼 XM리그 프로세스가 지속적으로 돌아가도록 한다.
심지어 루트 인증서를 다운로드 받아 설치하는 과정도 발견됐다. 이는 암호화된 트래픽을 포함해 웹 트래픽을 중간에서 가로채기 위함으로 보인다. 다만 이 기능을 실행하는 부분은 코드에서 ‘코멘트 처리’되어 기능이 실제적으로 발동되지는 않는다.
현재 다스마이너가 실제적으로 입히는 피해는 그리 크지 않은 것으로 보인다. 멀웨어바이츠는 “실제적으로는 시스템이 조금 느려지는 정도가 현재까지 밝혀진 피해”라고 설명한다. 다만 백도어가 시스템에 열리게 되는 것이므로 추가 공격이 이어질 가능성은 결코 낮다고 볼 수 없다고 경고하기도 했다. “공격자들로부터 온 페이로드가 추가로 발견되기 전까지 공격자의 의도를 다 파악하기는 힘듭니다.”
멀웨어바이츠는 “해적판 소프트웨어가 유통되는 생태계도 공격자들에게 악용될 수 있다는 게 이번 발견의 주안점”이라고 강조한다. “물론 불법 콘텐츠 유통을 통한 멀웨어 확산이 어제 오늘 일은 아닙니다. 하지만 사용자들은 그런 사실을 무시하는 게 보통입니다. 어도비 지라면 해적판 사용자들 사이에서 꽤나 널리 알려진 것이라, 이번 사건이 경고 역할을 할 수 있지 않을까 기대합니다.”
그러면서 멀웨어바이츠는 “해적판 소프트웨어를 사용하는 건 스스로에게 도움이 되지 않는 길”이라며 “소프트웨어 가격이 피해 복구 가격보다 훨씬 낮다는 걸 이해할 필요가 있다”고 지적했다.
3줄 요약
1. 최근 발견된 맥용 멀웨어, 어도비 지라는 해적판 지원 프로그램 통해 퍼지고 있음.
2. 맥 시스템에 백도어를 설치하는 것만 아니라 암호화폐 채굴 코드도 심음.
3. 해적판 소프트웨어의 위험성이 드러나는 사례.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
