보안 솔루션인 것처럼 위장한 맥OS용 멀웨어, 칼리스토

인테고에서 만든 솔루션인 것처럼 위장한 채 설치 유도
아직은 개발 단계에 있는 듯 보여...비밀번호 평문으로 저장

[보안뉴스 문가용 기자] 카스퍼스키 랩은 최근 프로톤(Proton) 백도어 패밀리에 속하는 멀웨어의 초기 버전을 발견했다. 프로톤 백도어는 맥OS 사용자들을 속여 가짜 보안 애플리케이션을 다운로드 받도록 하는 공격을 통해 설치된다고 한다.

[이미지 = iclickart]

이번에 발견된 프로톤 변종의 이름은 칼리스토(Calisto)인데, 처음 발견된 것은 2년 전인 2016년의 일이다. 그러나 바이러스토탈(VirusTotal)에 등록된 건 최근의 일이라고 카스퍼스키는 지난 주 블로그를 통해 발표했다.

블로그 포스트를 작성한 카스퍼스키의 연구원 미카일 쿠진(Mikhail Kuzin)과 세르게이 젤렌스키(Sergey Zelensky)는 “카스퍼스키에서 분석한 칼리스토 설치 파일은 서명되지 않은 DMG 이미지였고, 맥킨토시 보안 소프트웨어 제조사인 인테고(Intego)가 만든 솔루션인 것처럼 위장되어 있다”고 설명한다.

아직까지 칼리스토로 누군가 실제로 공격을 감행한 경우는 없는 것으로 보인다. 하지만 카스퍼스키는 “프로톤의 여러 가지 버전이 돌아다니고 있기는 하다”며 “전부 보안 솔루션인 것처럼 위장하고 있다”고 경고한다. “맥 환경에서 보안 솔루션을 다운로드 받고 싶다면 반드시 꼼꼼한 확인을 해야 합니다.”

가짜 보안 앱의 설치를 시작하면 가짜 라이선스 동의 내용이 담긴 창이 먼저 등장한다. 그 다음 소프트웨어로 인해 시스템 변경이 이뤄진다며 사용자 이름과 비밀번호를 입력하라는 창이 뜬다. 물론 이 정보는 공격자들에게 넘어간다.

한편 설치 과정은 성공적으로 완료되지 않는다. 반드시 오류가 나며, 사용자들에게 다른 패키지를 다운로드 받아 설치하라고 권한다. 이 패키지는 실제 인테고에서 개발한 정식 보안 솔루션이다. 과정이야 어찌됐든 결과적으로는 인테고의 진짜 보안 솔루션이 설치되었으므로 사용자들은 이상하다는 생각을 하지 못하거나, 금방 잊어버린다.

칼리스토가 감염시킨 컴퓨터에 시스템 무결성 보호(System Integrity Protection)가 활성화되어 있으면 기능이 제한된다고 카스퍼스키는 말한다. “키체인 스토리지, 사용자 로그인 및 비밀번호 창, 네트워크 연결, 구글 크롬과 관련된 기기 정보만 저장할 수 있게 됩니다.”

하지만 시스템 무결성 보호 장치가 비활성화 되어 있다면? “시스템을 조작합니다. 그래서 원격 접근이 가능하게 되고, 다양한 데이터를 수집하며, 수집한 데이터를 C&C로 전송하기도 합니다. C&C 서버를 추적해봤으나 현 시점에서는 오프라인 상태로 유지되고 있습니다.”

또 다른 보안 업체 멀웨어바이츠(Malwarebytes) 역시 이번 주 자사 블로그를 통해 칼리스토에 대해 발표했다. “칼리스토 혹은 프로톤은 사용자의 비밀번호가 담긴 평문 파일을 어딘가에 남겨둔다는 특징이 있습니다. 그래서 다음 공격자가 컴퓨터에 침해했을 때 그 정보를 사용할 수 있게 됩니다.”

프로톤 패밀리는 2017년 큰 강세를 보인 멀웨어로, DVD 복제 툴인 핸드브레이크(HandBrake)와 엘미디어 플레이어(ElMedia Player)의 원래 설치 파일들이 프로톤으로 대체되어 배포되는 공급망 공격을 통해 여러 사람들에게 피해를 입힌 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다