2020-08-10 07:40 (월)
2019년 가장 널리 퍼진 맥OS 악성코드는…’Shlayer’ 멀웨어
상태바
2019년 가장 널리 퍼진 맥OS 악성코드는…’Shlayer’ 멀웨어
  • hsk 기자
  • 승인 2020.01.28 16:48
이 기사를 공유합니다

카스퍼스키랩 보안 전문가들은 2019년 가장 널리 퍼진 macOS 악성코드가 Shlayer라고 밝혔다. 지난 2월 Carbon Black의 악성코드 연구원들은 macOS 10.10.5에서 10.14.3을 대상으로 하는 Shlayer 악성코드의 새로운 변종을 발견했다.

해당 악성코드는 어도비 플래시 업데이트로 나타났고, 많은 웹 사이트와 합법적이지만 가짜이거나 손상된 도메인을 통해 유포된 것으로 보인다. Shlayer 멀웨어의 변종은 여러 수준의 난독화를 사용하며, 많은 초기 DMG 파일들이 합법적인 애플 개발자 ID로 서명되어 있었다.

악성코드는 타깃 Mac 장치에 Any Search bar를 설치하여 애드웨어를 유포하고, 브라우저 데이터를 가로채 수집하며 검색 결과를 반영하여 악성 광고를 제공한다. 카스퍼스키에 따르면 2019년, Mac 보안 솔루션 10개 중 하나만 Shlayer를 한번 이상 발견했다.

Shlayer는 AdWare.OSX.Cimpli, AdWare.OSX.Bnodlero, AdWare.OSX.Pirrit, AdWare.OSX.Geonei를 포함한 여러 애드웨어를 제공하는데 사용되었다. 전문가들은 Shlayer 멀웨어 감염 과정이 변하지 않고 지속적으로 활동하였다고 설명한다.

다른 Bash 기반 macOS 멀웨어와 달리 Shlayer 제품군은 파이썬으로 작성되었고, 작동 알고리즘에 차이가 있다. 이 멀웨어는 시스템에 침투해 메인 페이로드를 로드 후 실행하기 때문에 공격 초기단계에만 사용된다.

연구원들은 ‘관리’라고 불리는 멀웨어에 의해 다운로드 및 설치된 확장 프로그램 중 하나를 자세히 설명했다. 확장 프로그램은 사용자 검색을 모니터링하고 브라우저 페이지에 script.js 스크립트를 삽입하여 http://lkysearchex41343-a.akamaihd.net/as?q=c를 리디렉션한다. 악성 코드는 PyInstaller를 사용하여 압축된 mitmdump 도구를 로드한다.

대부분의 Shlayer 감염 시도는 미국 31%, 독일 14%, 프랑스 10%, 영국 10%로 관찰되었다. 연구원들은 “Shlayer 제품군을 연구한 결과, macOS 플랫폼이 사이버 범죄자에게 좋은 수익원임을 알 수 있었다. 트로이 목마 링크는 합법적인 리소스에도 존재한다. 공격자는 사회공학 기술에 능숙하며, 다음 기술이 얼마나 정교할지 예측하기 어렵다”고 덧붙였다.

 

[2020 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최 안내]

-주최: 데일리시큐

-후원: 정부 유관기관

-참관객: 공공•금융•기업CISO, CSO, CPO 및 정보보안 담당자 및 보안연구가 등 300명

-일시: 2020년 2월 5일 수요일

-장소: 한국과학기술회관 지하1층 대회의실

-참관비용: 11만원(VAT 포함)

-교육이수: 7시간 정보보호 교육 이수 가능(정부/공공/일반기업 보안실무자)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★