랜섬웨어이긴 한데...키로깅과 암호화폐 지갑 주소 탈취하는 기능도 있어
일반적으로 해적판 소프트웨어 통해 퍼져가는 중...가짜 구글 업데이트 패키지로 위장도

[보안뉴스 문가용 기자] 맥OS 사용자들을 노리는 새 랜섬웨어가 발견됐다. 이름은 에빌퀘스트(EvilQuest)로, 현재 각종 해적판 소프트웨어를 통해 퍼지고 있다고 한다. 보안 전문가 디네시 데바도스(Dinesh Devadoss)가 처음 발견했으며, 기존 랜섬웨어들의 ‘파일 암호화’ 기능 외에도 키로거와 암호화폐 지갑 주소 탈취 기능도 발견되고 있다고 한다.


[이미지 = utoimage]

에빌퀘스트 샘플들은 이미 여러 버전의 형태로 존재하고 있으며, 비트토렌트(BitTorrent) 기반의 파일 공유 사이트들에서 주로 발견되고 있다고 한다. 토렌트 사이트 등을 통해 멀웨어를 배포하는 건 흔한 하급 전략으로 간주되지만 성공률은 무시할 만한 수준이 아니라고 한다. 데바도스가 발견한 샘플들 중에는 구글 소프트웨어 업데이트 패키지인 것처럼 위장된 것도 있었다. 리틀 스니치(Little Snitch)라는, 맥용 앱 방화벽 소프트웨어에 숨어든 것도 발견됐다.

이런 소프트웨어들을 다운로드 받아 설치할 경우 patch라는 이름의 실행 파일이 Users/Shared라는 디렉토리에 설치된다. 또 소프트웨어 설치 과정이 종료되면 후속 설치 스크립트가 다운로드 되며, 이를 통해 실행 파일이 피해자의 시스템 내에서 실행된다. 그러면서 에빌퀘스트 랜섬웨어가 파일을 암호화 하기 시작한다.

암호화 과정이 완료된 후에는 READ_ME_NOW라는 텍스트 파일이 생성되고, 피해자는 이 파일 내용에 따라 돈을 내든 다른 방법을 사용하든 결정해야 한다. 데바도스가 찾아낸 랜섬웨어의 경우, 피해자에게 요구하는 돈은 50달러였다. 에빌퀘스트는 맥OS에 내재된 음성 기능을 활용해 이 협박 편지가 음성으로 낭독되도록 함으로써 피해자가 이 내용을 반드시 파악하도록 만든다.

에빌퀘스트가 암호화 하는 것은 환경설정 파일들과 데이터 파일들이다. 때문에 암호화가 끝나고 피해자가 로그인을 하려고 하면 오류 메시지가 뜬다. 흥미로운 건 에빌퀘스트에 메모리 내 코드 실행 기능과 분석 방해 기능, 공격 지속성 확보 기능 등이 존재한다는 것이다. 디버깅을 시도해도 소용이 없고, 가상 기계 환경에서는 발동되지 않는다는 것이다.

또한 CGEventTapCreate로 호출 신호를 보내는 것도 발견됐다. 이는 키스트로크 같은 이벤트를 모니터링 할 때 사용하는 시스템 루틴으로, 키로깅 등에 주로 활용된다. 아니나 다를까, 랜섬웨어의 C&C 서버에 키로깅 기능을 발동시키는 작업이 발견되기도 했다. 그 외에 wallet.pdf, wallet.png, key.png 등 암호화폐 지갑과 관련된 파일을 찾아나서기도 한다.

맥OS 사용자들만을 노린 랜섬웨어는 드물게 발견된다. 키레인저(KeRanger)나 맥랜섬(MacRansom)이 그나마 유명한 랜섬웨어들이다. 보통 최대 수익 효과를 노리는 랜섬웨어 공격자들에게 있어 맥OS는 선호되는 대상은 아니다. 윈도우나 안드로이드와 같은 환경에서 작동하는 걸 만들면 훨씬 더 많은 사람을 노릴 수 있기 때문이다.

현재는 에빌퀘스트의 암호화 알고리즘이 무엇인지, 그 알고리즘을 어떻게 크랙해야 하는지 등이 추가로 연구되고 있는 상황이다. 리버스 엔지니어링의 시도 역시 이뤄지고 있다고 한다. 또한 에빌퀘스트의 배후 세력은 누구이며, 현재 에빌퀘스트가 ‘서비스형 랜섬웨어’로 판매되고 있는 건지, 아니면 개인의 작품인 건지도 조사 중에 있다.

3줄 요약
1. 맥OS용 랜섬웨어인 에빌퀘스트가 새롭게 발견됨.
2. 랜섬웨어인데 키로거와 암호화폐 지갑 주소 탈취 기능도 가지고 있음.
3. 피해자가 협박 편지 반드시 읽도록 음성 기능 사용하기도 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>