• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

가장 위험한 맥용 멀웨어 슐레이어, 최신 버전 등장해 2020.06.18

작년 맥 생태계를 가장 크게 위협했던 멀웨어, 최신 버전 조용히 나타나
가짜 플래시 플레이어 모습으로 퍼지고 있어...공격자 필요에 따라 추가 멀웨어 다운로드

[보안뉴스 문가용 기자] 슐레이어 맥 OSX(Shlayer Mac OSX)라는 멀웨어의 새 변종이 등장했다. 이전 보다 한층 더 은밀해졌고, 현재 해커들 사이에서 이미 사용되고 있는 중이다. 특히 구글 검색 결과를 악용함으로써 사용자들에게 피해를 입히고 있는 상황이라고 해 주의가 요망된다.

[이미지 = utoimage]


보안 업체 인테고(Intego)에 의하면 현재 슐레이어는 어도비 플래시 플레이어 설치 파일로 위장되어 있다고 한다. 이 설치 파일은 .dmg라는 확장자를 가지고 있어, 피해자가 다운로드 받아 실행시킬 경우 디스크 이미지로서 마운트 되며, 화면에 설치 안내가 나타난다. dmg는 맥OS 환경에서 사용되는 디스크 이미지 파일을 가리키는 확장자다.

이처럼 맥 환경에 맞게 ‘위장’이 되어 있는 것처럼 보이지만 실제 설치 안내문에서는 ‘디테일’이 조금 떨어지는 모습이 나타난다. 제일 먼저 ‘우클릭을 하시오’라고 되어 있는데, 애플에서 나온 마우스와 트랙패드에는 딱히 우측 버튼이 존재하지 않기 때문이다. 따라서 맥을 처음 사용하는 사람들의 경우라면 이 우클릭 안내부터 실행하기가 곤란해진다.

하지만 우클릭을 해서 설치 파일의 메뉴를 불러내고, 여기서 다시 ‘열기’를 누르는 데까지 성공한다면 가짜 설치 과정이 실행된다. 정식 플래시 아이콘까지 갖추고 있고, 평범하고 일반적인 맥용 앱의 외관을 하고 있어 의심하기 어렵다. 그러나 사실은 설치 프로그램이 아니라 배시 셸 스크립트(bash shell script)다.

이 스크립트가 실행되면 암호로 보호되어 있는 zip 아카이브 파일이 하나 생성된다. 이 아카이브 속에는 맥용 앱이 여러 개 압축되어 있는데, 전부 사용자 눈에 보이지 않는 임시 비밀 폴더에 저장된다. 그리고 앱이 숨겨진 폴더로부터 실행된다. 이 모든 과정이 1초 내외로 일어나며, 따라서 사용자가 알아챈다는 건 불가능에 가깝다고 한다. 인테고에 의하면 “육안으로는 이상한 점이 하나도 없는 것처럼 느껴진다”고 한다.

심지어 위의 zip 아카이브 내 압축되어 있는 앱 중에는 정상 플래시 플레이어 설치 파일도 포함되어 있다. 완벽하게 눈을 가리기 위함이다. “앱들을 비밀번호로 보호되어 있는 zip 파일 안에 감추고, 그 zip 파일은 배시 셸 스크립트 안에 감추는 방식은 꽤나 새로웠습니다. 공격자들이 스스로를 얼마나 감추고 싶어 했는지 잘 알 수 있는 부분이기도 합니다.” 인테고의 설명이다.

숨김 폴더 안에 저장된 멀웨어는 피해자의 시스템 내에 머물러 있다가 C&C 서버를 통해 추가 멀웨어나 애드웨어를 다운로드 받아 설치한다. 서버 운영자, 즉, 공격자가 이 시기를 마음대로 결정할 수 있다. “즉 슐레이어의 최신 버전은 일종의 다운로더로서의 역할을 하는 것입니다. 그 뒤에는 공격자의 상황과 목적에 따라 다양한 멀웨어가 사용됩니다.”

슐레이어는 작년 맥 생태계에서 나타난 가장 위험한 멀웨어로 꼽혔다. 당시 버전도 최근 발견된 버전과 마찬가지로 다운로더 혹은 2단계 멀웨어로서 활약했다. 또한 가짜 앱 형태로 배포되는 것도 이번 버전과 닮았다.

특이한 건 현재 공격자들이 이 슐레이어를 퍼트리기 위해 구글 검색 결과를 악용하는 수법을 사용한다는 것이다. 이는 다음과 같은 과정으로 진행된다.
1) 공격자들이 구글 검색 결과 상위권에 위치한 블로그나 웹사이트를 물색한다.
2) 적절한 사이트를 찾으면 침해한다.
3) 여러 가지 우회 기술을 접목시켜 방문자가 다른 곳으로 접속하도록 한다.
4) 이번 공격의 경우 방문자들은 가짜 플래시 플레이어 다운로드 페이지로 우회된다.

슐레이어 최신 버전은 말 그대로 갓 나온 따끈따끈한 멀웨어라, 현재 바이러스토탈(VirusTotal)에서의 탐지 비율이 형편없는 상황이라고 한다. 하지만 백신 엔진들이 업데이트 되면서 이 문제는 해결될 것으로 보인다.

인테고는 슐레이어를 추적하다가 모든 면에서 똑같은 전략을 구사하는 또 다른 멀웨어가 있었다는 것을 알게 되었다고 밝혔다. .dmg 이미지 파일을 사용하는 것이나, 검색 결과를 오염시키는 것이나, 어도비 플래시 플레이어를 악용하는 것 모두가 똑같다고 한다. 이 멀웨어의 이름은 크레센트코어(CrescentCore)다. 작년 여름에 나타났다. 하지만 크레센트코어 운영자들과 슐레이어 운영자 사이의 연관성은 아직 명확히 밝혀진 바 없다.

3줄 요약
1. 작년 맥 환경을 가장 위험하게 만들었던 멀웨어, 슐레이어.
2. 최근 새로운 버전 등장함. 검색 결과를 악용하고, 플래시 플레이어로 위장되어 퍼지고 있음.
3. 슐레이어 자체는 다운로더. 여러 다른 멀웨어를 추가로 다운로드 받는 데 활용됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>