슬랙과 디스코드 채팅 방에서 멀웨어 배포...용량이 무려 34MB
모든 해킹 스타일이 바보스러워 이름을 ‘더미’라고 붙여

[보안뉴스 문가용 기자] 맥OS용 멀웨어를 사용하는 해커들이 슬랙(Slack)과 디스코드(Discord) 채팅 플랫폼을 사용하는 암호화폐 투자자들을 공격했다. 이 공격에 사용된 멀웨어는 OSX.더미(OSX.Dummy)로, 그리 고급화 되지 않은 방법으로 시스템을 감염시킨다. 하지만 일단 감염에 성공하면 모든 맥OS 시스템에 원격 코드 실행 공격이 가능해진다.


“공격자들이 운영하는 C&C 서버와 연결을 성립시키는 것이 공격자들의 목표입니다. 거기까지만 해내면 원격에서 루트 권한을 가지고 명령을 실행시킬 수 있게 되거든요.” 이 공격을 분석한 보안 업체 디지타 시큐리티(Digita Security)의 수석 연구원인 패트릭 워들(Patrick Wardle)의 설명이다.

하지만 멀웨어를 가장 먼저 발견한 건 보안 전문가 렘코 베르호프(Remco Verhoef)였다. 베르호프는 SANS 블로그에 자신이 발견한 멀웨어에 대한 내용을 포스팅했다. 당시 이 멀웨어가 사용된 공격 여러 건을 발견한 차였다.

“지난 며칠 동안 맥OS 멀웨어 공격이 다수 발견됐습니다. 특히 슬랙과 디스코드 내 암호화폐 관련 채팅 그룹에서 시작된 것이 대다수였습니다. 주로 관리자 혹은 핵심 인물인 척 하며 사람들에게 접근해 멀웨어를 설치하게 했습니다. 전형적이고 기본적인 소셜 엔지니어링 기법인 것이죠.”

사용자들이 속아서 설치한 OSX.더미 멀웨어는 무려 34MB나 되며, cURL을 통해 다운로드를 받았다. 이 파일은 macOS/tmp/script 디렉토리 내에 저장됐으며, 그런 후에 실행됐다. 베르호프는 “용량이 큰 mach064 바이너리로, 바이러스토탈(VirusTotal)에서 0점을 받은 바 있는 멀웨어”라고 설명한다.

이 바이너리는 서명이 되어 있지 않다고 워들은 추가적인 분석 내용을 공개했다. 그렇다면 서명되지 않은 바이너리가 다운로드 되지 않도록 막아주는 맥OS 게이트키퍼(Gatekeeper)를 어떻게 통과하는 것일까?

“보통이면 게이트키퍼가 막을 수 있어야 합니다. 하지만 사용자들이 바이너리를 터미널 명령을 통해 직접 다운로드를 받으면 게이트키퍼가 작동하지 않습니다. 결국 맥OS에 기본 탑재되어 있다는 보안 시스템에도 어디엔가 취약점이 존재한다는 겁니다.”

멀웨어 바이너리가 실행되면, 맥OS의 수도 명령(sudo command)이 멀웨어의 허용 수치를 루트로 바꾼다. “이렇게 되면 사용자가 비밀번호를 터미널에 입력해야만 합니다.” 워들의 설명이다. 애플에 따르면 수도 명령을 실행하기 위해서는 사용자가 관리자 권한 계정에 로그인해야 한다고 한다.

관리자급 권한을 받은 멀웨어는 여러 디렉토리에 코드를 드롭하는데, 이 중에는 /Library/LaunchDaemons/com.startup.plist도 포함된다. 이 부분 때문에 OSX.더미는 시스템 내에 오래 남아있을 수 있다. “또한 멀웨어는 포트 1337을 통해 185.243.115.230으로 연결을 시도합니다.”

워들에 의하면 “C&C 서버에 연결된 이후 공격자는 해당 시스템에 대한 권한을 가져올 수 있게 된다.” 시스템을 원격에서 장악할 수 있다는 뜻이다. 워들은 멀웨어가 /tmp/dumpdummy라는 폴더를 생성하는 것을 보고 이름을 OSX.더미라고 붙였다고 한다. 하지만 그것만이 아니다.

“솔직히 감염 경로나 방법이 매우 바보 같아요(dummy). 바이너리 용량이 34MB나 된다는 것도 좀 바보 같고요. 게다가 시스템에 오래 남아있으려는 작동 원리도 되게 어리석고, 기능은 기능대로 별로 없습니다. 오죽하면 바이러스토탈에서 0점을 받았겠습니까. 여러모로 바보 같은 멀웨어라 이름을 그렇게 붙였습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>