본문 바로가기

security/보안 뉴스

[Sophos] 브라우저와 이메일 패스워드를 뒤지는 Apple 좀비 맬웨어 ‘NetWeird’


라우저와 이메일 패스워드를 뒤지는 Apple 좀비 맬웨어 ‘NetWeird’

Mac 맬웨어에 대한 네이키드 시큐리티(Naked Security) 글을 올리면, 종종 논란이 되곤 합니다. 보통 그것은 맬웨어 자체 때문이 아니라, 우리가 그것에 대해 처음으로 작성한 것 때문입니다.

다음은 어떻게 그것이 일어나는지 보여줍니다.

우리가 글을 올립니다. 정치적으로 예민한 애플 광팬(Apple fanboys)들은 우리가 Cupertino(애플 본사가 있는 지역)를 싫어하기 때문에 Apple 맬웨어에 대해서만 적는다고 말하며, 멋지게 나섭니다.

애플 광팬들은 Mac 맬웨어는 다른 모든 사람들의 상상력 부족한 망상의 허구라고 말하면서 더욱 무섭게 맞장구를 칩니다.

또한 만약 Admin 패스워드를 묻지 않는다면, 그것은 맬웨어가 될 수 없다는 것을 우리들에게 확고하게 상기시키기 위해 나섭니다.(완전히 어떠한 정확성도 없이)

그리고 나면, 오랫동안 참아왔지만 맬웨어에 단련된 Windows 사용자들이 갑자기 나타나서 말합니다. ” 1991년에, 우리는 똑같이 느꼈는데, 좋게 끝나지는 않았습니다.” 철학적인 경향 중 하나로 조지 산타야나(George Santayana)의 말을 성심과 염려를 담아 반복합니다. “과거를 기억하지 못하는 자는 그것을 되풀이 한다.”

그래서, 심호흡 한번 하고 몇몇 Mac 맬웨어 뉴스를 소개합니다.

언론에서 그것에 대해 야단법석을 떤 적이 있는데, 그것이 우리가 여러분에게 그것에 대해 말해야 한다고 생각했던 첫 번째 이유입니다.; 두 번째 이유는 매력적으로 특이한 NetWeird라는 이름을 가지고 있기 때문입니다.(게다가, 나는 그 이유를 모릅니다.)

NetWeird는 주로 그것이 흥미롭지 않기 때문에 흥미롭습니다. 그 맬웨어는 아주 잘 만들어진 건 아닙니다. 테스트가 잘 된 것도 아닙니다. 아마도 불시에 여러분을 감염시키지도 않을 겁니다. 그리고 우리가 말 할 수 있는 한, 그것은 현재 있지는 않습니다.

하지만 프랑스 Mac 안티 바이러스 팀 인티고(Intego)에 있는 우리 친구들에 따르면, 누군가가 애써 그것을 만들어서는, 사실상 60불이라는 엄청난 가격으로 지하시장에서 그것을 팔려고 노력한다는 겁니다.

그것이 흥미를 유발합니다: 그 사기꾼들은 사실 새로운 Mac 맬웨어를 대량으로 만드는 습관이 붙어 있는 것 같습니다. 그들이 얼마나 영리한지 보여주려는 것이 아니라, 단지 수년 동안 Windows에서 해왔던 것과 같은 속임수를 반복할 수 있는지 보여주려고 말이죠. 특히 돈이 되는 일이라고 하면, 종종 과거를 기억하는 사람은 그것을 반복하게 됩니다.

지금부터는 맬웨어에 대한 내용입니다.

NetWeird는 여러분 컴퓨터의 home 디렉터리에 WIFIADAPT.app.app이라 불리는 어플리케이션 번들로 스스로 설치됩니다. 그것이 좀 더 명확합니다.

추측하건대 Mac을 리부팅할 때마다 의도적으로 로딩이 되도록 그것은 스스로 로그인 아이템에 추가됩니다. 하지만, 어플리케이션이 아니라 폴더로 추가되는 게 버그입니다. 여러분이 다시 로그인할 때 파인더가 갑자기 나타나서 여러분의 home 디렉터리를 표시합니다.

또한 NetWeird는 home을 네덜란드에 있는 호스트 서버로 호출합니다. 이것이 봇(bot)이나 좀비를 만듭니다.

봇은 봇마스터(botmaster)로 알려진 사이버사기꾼들(cybercrook)로부터 명령 및 제어 신호를 듣기 위해 외부 연결을 이용합니다. 이는 TCP연결이 일단 established되면, 완전히 양방향성이라서 클라이언트 측은 서버로 행동할 수 있기 때문에 동작하게 되고, 그 반대도 똑같습니다.

그 봇이 처리할 수 있는 명령은 쉘을 통해 임의의 프로그램을 실행하고, 실행되고 있는 프로세스를 모니터링하고, 화면을 캡쳐하고, 파일을 빼내고, 잘 알려진 서드파티 브라우저와 이메일 클라이언트인 Opera, Firefox, SeaMonkey, Thunderbird의 패스워드 파일들을 뒤지게 됩니다.

여러분이 이런 일들을 보는 것을 좋아할 것 같진 않지만 만약 보게 된다면, 소포스 안티바이러스(Sophos Anti-Virus)는 그것을 OSX/NetWrdRC-A이란 이름으로 처리하게 될 것입니다.

여러분이 만약 감염된다면, 위에 언급한 어플리케이션 번들을 삭제하고 그것이 디스크에서 제거되고 메모리에서 사라지도록 리부팅하세요.

그리고, 여러분이 Mountain Lion을 기본 보안 설정으로 사용하고 있다면, 그것을 실행할 수 없을 것입니다. 그 맬웨어가 앱스토어에서 다운받은 것이 아니고 Apple이 보증한 개발자에 의해 전자서명 된 것이 아니기 때문입니다.

여러분은 그 사실만 기억하면 될 것입니다.