조심하세요! 이 $49 XLoader 악성코드는 macOS에서 데이터를 훔칠 수 있습니다

Check Point Research (CPR)의 보안 연구원들은 수요일에 Apple의 macOS 사용자로부터 민감한 정보를 훔치는 새로운 형태의 크로스 플랫폼 악성코드를 공개했습니다.

“XLoader”로 식별된 이 악성코드는 현재 다크 웹 포럼에서 봇넷 로더 서비스 형태로 $49 이하로 배포되고 있으며, Windows 및 macOS 장치 모두에 대해 배포될 수 있습니다.

모르는 분들을 위해 설명하자면, XLoader는 Formbook이라는 Windows 기반 변형에서 유래되었습니다. 주당 $29에 제공되는 Formbook은 2016년 해킹 포럼에 처음 등장했습니다. “간단한 키로거”로 설계된 Formbook은 다양한 웹 브라우저에서 자격 증명을 수집하고, 스크린샷을 수집하며, 키 입력을 모니터링하고 기록하며, 피해자의 기기에서 악성 파일을 실행합니다.

그러나 고객들은 즉시 전 세계의 조직을 대상으로 하는 광범위한 스팸 캠페인에서 사용할 수 있는 보편적인 도구로서의 잠재력을 보았습니다. 이 악성코드는 2018년에 판매에서 사라졌지만, 2020년에 XLoader라는 새로운 이름으로 다시 등장했습니다.

XLoader의 자격 증명 수집 기능은 “브라우저, 메신저, FTP 및 이메일 클라이언트를 포함한 거의 100개의 애플리케이션”에서 작동한다고 연구원들은 작성합니다.

CPR 보고서에 따르면, Formbook의 코드 기반을 차용한 XLoader는 2020년 2월 6일에 지하 그룹 중 하나에서 판매 광고가 나왔습니다. 그 이후로, XLoader는 의존성이 없는 크로스 플랫폼(Windows 및 macOS) 봇넷으로 인기를 얻었으며, macOS 시스템을 손상시킬 수 있는 기능과 같은 주요 개선 사항을 포함하고 있습니다.

Check Point는 2020년 12월 1일부터 2021년 6월 1일까지 6개월 동안 XLoader 활동을 추적했으며, 69개국에서 요청을 확인하여 악성코드에 감염된 피해자의 절반 이상(53%)이 미국에 있으며, Mac 및 Windows 사용자 모두를 포함하고 있음을 발견했습니다.

피해자들은 악성코드가 포함된 Microsoft Office 문서를 포함한 스푸핑된 이메일을 사용하는 전형적인 피싱 계획을 통해 XLoader를 다운로드하도록 속습니다. Apple에 따르면, 2018년에는 약 2억 명의 사용자가 macOS를 운영하고 있었으며, 이는 이 악성코드가 모든 Mac 사용자에게 잠재적인 위협이 됨을 의미합니다.

“macOS 사용자들 사이에는 Apple 플랫폼이 다른 더 널리 사용되는 플랫폼보다 더 안전하다는 일반적인 잘못된 믿음이 있다고 생각합니다. Windows와 MacOS 악성코드 간의 차이가 있을 수 있지만, 그 차이는 시간이 지남에 따라 서서히 좁혀지고 있습니다. 사실, MacOS 악성코드는 점점 더 커지고 더 위험해지고 있습니다.”라고 Check Point Software의 사이버 연구 책임자인 Yaniv Balmas가 말했습니다.

“우리의 최근 발견은 이 성장 추세의 완벽한 예시이며 이를 확인합니다. MacOS 플랫폼의 인기가 높아짐에 따라 사이버 범죄자들이 이 분야에 더 많은 관심을 보이는 것은 당연하며, 개인적으로 Formbook 악성코드 계열에 이어 더 많은 사이버 위협을 보게 될 것이라고 예상합니다. 모르는 발신자로부터 받은 이메일의 첨부 파일을 열기 전에 두 번 생각해야 할 것입니다.”

CPR은 사용자가 보호되지 않은 웹사이트 방문을 피하고, 알 수 없는 발신자로부터 의심스러운 이메일 첨부 파일을 열지 않으며, Mac 또는 PC를 악성코드로부터 안전하게 유지하기 위해 타사 보호 소프트웨어를 사용할 것을 권장합니다.

“이 악성코드는 [은밀한] 특성을 가지고 있기 때문에 ‘비기술적인’ 눈으로 감염 여부를 인식하기 어려울 수 있습니다.”라고 분석가들은 의견을 제시했습니다.

“따라서 감염된 것으로 의심되는 경우 보안 전문가와 상담하거나 이 위협을 식별, 차단 및 제거하도록 설계된 타사 도구 및 보호 기능을 사용하는 것이 현명할 것입니다.”

사이버 보안 회사는 또한 Windows Explorer의 AutoRun 기능을 사용하는 것을 권장합니다(아래 참조). 주의: 이 방법은 경험이 없는 사용자에게는 적합하지 않습니다.

2. OS에서 사용자 이름을 확인하세요.

3. • /Users/[username]/Library/LaunchAgents 디렉토리로 이동하세요.*

4. 이 디렉토리에서 의심스러운 파일 이름을 확인하세요(예: 무작위로 보이는 이름, 아래 예시 참조)

/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).

2. 의심스러운 파일을 제거하세요.