애플의 맥 OS가 악성코드에 면역이라고 생각했다면, 맥 악성코드의 역사입니다

Table Of Contents

맥 악성코드: 2004년부터 현재까지 애플의 맥 OS를 위한 악성코드의 간략한 역사
2004: Renepo: 셸 스크립트 웜:
2006: Leap: iChat을 통해 전송된 첫 번째 Mac OS X 바이러스:
2007: BadBunny 웜: 첫 번째 금융 악성코드:
2008: MacSweeper: 중독된 TV 웹사이트 광고:
2008: Imunizator: 사용자를 겁주어 자금을 조달:
2009: Jahlav: 비디오 코덱으로 가장함:
2009: iWork 및 Adobe Photoshop CS4의 불법 복제 버전
2010: Boonana: 소셜 네트워킹 사이트를 통해 확산:
2010: PremierOpinion: 무료 Mac 앱 및 화면 보호기에서 포장된 스파이웨어:
2011: MacDefender: 안티바이러스 소프트웨어로 가장함:
2012: Flashback 악성코드: Adobe Flash 설치 프로그램으로 가장함:
2014: Mac.BackDoor.iWorm: OS X 봇넷:
2014: Wirelurker: 불법 복제된 Mac 앱을 통해 확산

맥 악성코드: 2004년부터 현재까지 애플의 맥 OS를 위한 악성코드의 간략한 역사

맥 사용자들은 애플의 통합 시스템이 결코 악성코드에 노출되지 않을 것이라고 확신하고 있지만, 그게 얼마나 사실일까요? 맥 악성코드의 간략한 역사를 살펴보겠습니다.

마이크로소프트 윈도우 사용자들이 컴퓨터 악성코드, 트로이 목마, 바이러스의 주요 피해자였습니다. 몇십 년 전, 맥 사용자들은 반대로 애플의 통합 시스템이 결코 악성코드에 노출되지 않을 것이라고 믿었기 때문에 올바른 장비를 사용하고 있다는 자부심을 느꼈습니다. 그러나 보안 연구자들은 다른 이야기를 전합니다. 몇십 년 전, 마이크로소프트 윈도우의 더 큰 사용자 기반 덕분에 해커들이 이 OS의 사용자를 쉽게 표적으로 삼을 수 있었습니다. 그러나 이제 애플의 시장과 맥 사용자도 성장하고 있으며 동시에 맥 지향 악성코드도 인기를 얻고 있습니다. 이 기사는 애플의 복잡한 악성코드 역사에 대한 요약입니다.

2004: Renepo: 셸 스크립트 웜:

이것은 OS X를 위해 특별히 설계되었지만, 심각한 악성코드는 아니었고, 애플의 통합 시스템을 목표로 한 첫 번째 악성코드라는 점에서 두드러졌습니다.

작동 측면에서 Renepo는 웹을 통해 이동할 수 없고 설치되기 위해서는 관리자 비밀번호나 물리적 접근이 필요했던 셸 스크립트 웜이었습니다. 설치 후, Renepo는 OS X의 방화벽과 보안 프로그램을 끄고 Mac OS X 보안을 비활성화했으며, 이후 비밀번호 크래커를 설치하여 해커가 손상된 시스템에 완전 접근할 수 있도록 도왔습니다.

실행 가능한 코드는 애플 맥의 MP3 음악 파일로 위장될 수 있었으며, 해커들은 이 악성코드를 사용하는 다른 해커들을 돕기 위해 Amphimix라는 개념 증명 프로그램을 작성했습니다.

2006: Leap: iChat을 통해 전송된 첫 번째 Mac OS X 바이러스:

Mac OS X를 위해 설계된 첫 번째 바이러스인 Leap는 2006년 초에 발견되었습니다. Leap는 OS X의 보안 결함을 악용하지 않았고 큰 피해를 주지 않았으며, 개념 증명 악성코드에 가까웠습니다.

이 트로이 목마는 전혀 정교하지 않았으며, 영향을 받은 사용자가 실제로 악성코드에 감염되기 위해서는 여러 가지 사전 조치를 취해야 했습니다. 해커들은 소셜 엔지니어링 방법, 즉 iChat의 Bonjour 친구 목록을 사용하여 악성 파일을 퍼뜨렸으며, 파일이 다운로드되고 압축 해제된 후에만 Mac 사용자를 성공적으로 감염시킬 수 있었습니다.

Leap는 출시 당시 OS X Tiger에서만 작동했으며 “Oompa Loompa”라는 이름으로도 알려졌습니다.

2007: BadBunny 웜: 첫 번째 금융 악성코드:

다음은 SophosLabs의 전문가들에 의해 발견된 BadBunny 웜으로, 이는 OpenOffice 다중 플랫폼 매크로 웜으로 Windows에서 Linux, 심지어 Mac 컴퓨터까지 실행할 수 있었습니다.

Sophos는 BadBunny 웜이 Mac OS X 시스템에 Ruby 스크립트 바이러스를 떨어뜨려 토끼 의상을 입은 남자의 부적절한 JPEG 이미지를 표시하게 했다는 것을 발견했습니다.

BadBunny는 Mac을 위한 첫 번째 금융 악성코드였으며 범죄자들은 OSX/RSPlug-A 트로이 목마의 Mac 및 Windows 버전을 개발했습니다.

이 트로이 목마는 코덱으로 가장하여 사용자가 포르노 비디오를 볼 수 있도록 도와주는 척했지만, 사용자가 콘텐츠를 다운로드하려고 하면 DNS 서버 항목을 다른 웹사이트로 우회시켰습니다.

2008: MacSweeper: 중독된 TV 웹사이트 광고:

이 악성코드는 다시 SophosLabs의 전문가들에 의해 발견되었습니다. MacSweeper는 맥 사용자를 속여 그들의 장치에 심각한 개인 정보 취약점이 있다고 믿게 만든 악성코드로, 문제를 해결할 소프트웨어를 제공했지만, 실제로는 장치에 존재하지 않았습니다.

SophosLabs의 보고서에 따르면, ITV라는 BBC의 경쟁 웹사이트가 이 중독된 웹 광고 캠페인의 피해자였습니다.

전문가들은 Macromedia Flash 파일인 Troj/Gida-B가 ITV.com에서 제3자 광고 대행사를 통해 제공되는 트래픽에 주입되었다고 발견했습니다.

이 중독된 광고는 Apple Macs에서 MacSweeper로 알려진 클리너를 홍보하도록 설계되었으며, Windows에서는 Cleanator로 홍보되었습니다. 두 프로그램 모두 사용자의 컴퓨터에서 “위험한 파일”을 감지한다고 허위 주장을 하여 사용자를 속여 소프트웨어의 전체 버전을 구매하게 만들었습니다.

2008: Imunizator: 사용자를 겁주어 자금을 조달:

MacSweeper와 마찬가지로 또 다른 트로이 목마인 Imunizator는 공포를 조장하는 악성코드였습니다. Troj/MacSwp-B로도 알려진 이 악성코드는 실제로 존재하지 않는 특정 가짜 악성 파일을 Mac 시스템에서 청소한다고 주장하는 소프트웨어로 가장했습니다.

이 가짜 주장은 사용자를 겁주었고, 악성코드는 사용자에게 “위험한 파일을 지금 제거하세요”라는 메시지를 표시하여 사용자를 속여 전체 “Imunizator 청소” 소프트웨어 제품을 구매하게 만들었습니다.

2009: Jahlav: 비디오 코덱으로 가장함:

Jahlav는 “비디오 코덱”으로 가장하여 사용자가 웹에서 포르노 콘텐츠를 보려면 필수적이라고 주장했습니다.

이 가짜 웹페이지는 사이버 범죄자에 의해 생성되었으며, 사용자가 특정 포르노 사이트를 방문할 때마다 장치에 올바른 코덱이 설치되어 있지 않다는 메시지가 팝업됩니다.

그 사이트는 Apple Mac 사용자에게 .DMG (디스크 이미지) 파일을 제공했습니다. 코덱이 설치되면 악성코드는 웹사이트 링크를 광고가 많이 포함된 웹사이트로 리디렉션하고 사용자에게 팝업 광고를 표시했습니다.

2009: iWork 및 Adobe Photoshop CS4의 불법 복제 버전

2009년에는 iWork’09와 Adobe Photoshop CS4의 의심스러운 복사본에 영향을 미치는 새로운 Mac OS X 트로이 목마가 P2P 파일 공유 네트워크에서 나타나기 시작했습니다.

iWork’09: 트로이화된 복사본은 PirateBay 토렌트 사이트에서 ZIP 파일로 발견되었으며, 이 파일이 압축 해제되면 적절한 Mac .pkg 파일이 제공되었습니다. iWorkServices.pkg 파일은 OSX/iWorkS-A 악성코드를 위한 설치 패키지였습니다. 사용자가 OSX/iWorkS-A를 설치하면 여러 파일이 생성되고 Mac 컴퓨터를 봇넷으로 만드는 프로세스가 시작됩니다. (봇넷은 악성코드에 감염되어 공격자가 완전히 제어하는 컴퓨터의 집합입니다.)
Adobe Photoshop CS4: iWork’09와 유사하게, 전문가들은 P2P 공유 네트워크에서 Adobe Photoshop CS4의 불법 복제 버전을 통해 배포되는 새로운 변종의 Apple Mac iWorkS 트로이 목마를 발견했습니다. 이 트로이 목마는 상업적으로 저작권이 있는 소프트웨어의 불법 복제 버전을 통해 배포되고 있었으며, 따라서 사용자가 BitTorrent 사이트에서 불법으로 소프트웨어를 다운로드하지 않았다면 악성코드에 노출될 위험이 없었습니다. 감염된 Macintosh 사용자는 공격자에 의해 원격으로 컴퓨터가 제어될 위험에 처했으며, 공격자들은 이를 사용하여 스팸을 보내고, 신원을 도용하며, 악성코드를 퍼뜨리는 등의 목적으로 사용했습니다.

2010: Boonana: 소셜 네트워킹 사이트를 통해 확산:

Boonana는 Facebook과 같은 소셜 네트워킹 사이트를 통해 컴퓨터로 퍼진 다중 플랫폼 트로이 목마였습니다. 이 악성코드는 2010년 SecureMac에 의해 발견되었습니다.

여기서 사용자는 “이 비디오에 당신이 나오나요?”라는 문구가 포함된 링크를 받았습니다. 이는 호기심 많은 사용자를 유인하기 위한 함정이었으며, 사용자가 링크를 클릭하면 악성 소프트웨어가 컴퓨터에 다운로드되어 시스템 파일, 설정 및 기타 보안 메커니즘이 수정되어 해커가 컴퓨터의 콘텐츠에 쉽게 접근할 수 있게 되었습니다.

보안 회사인 Intego는 Boonana가 예상보다 무섭지 않다고 밝혔습니다. 왜냐하면 이 악성코드는 버그가 많아 제작자가 기대한 수준에서 작동하지 못했기 때문입니다.

2010: PremierOpinion: 무료 Mac 앱 및 화면 보호기에서 포장된 스파이웨어:

2010년, Intego는 무료 Mac 앱 및 화면 보호기에서 포장된 스파이웨어에 대해 Mac 사용자에게 경고했습니다. 이는 애플이 Mac App Store에서 안전 앱을 도입하기 전에 발생했습니다.

이 경우 무료 앱에는 사용자가 “시장 조사 프로그램”을 실행하도록 강제하는 스파이웨어가 포함되어 있었으며, 그 동안 사용자의 컴퓨터 파일을 스캔하고 온라인 활동을 기록하여 이 모든 정보를 원격 서버로 전송했습니다.

이 특정 악성코드는 2008년부터 존재했으며 여러 Windows 사용자를 감염시켰습니다. 그러나 2010년부터 Mac 사용자들을 공격하기 시작했습니다.

2011: MacDefender: 안티바이러스 소프트웨어로 가장함:

MacDefender는 악성코드의 역사에서 전혀 새로운 시대의 시작을 알리는 악성코드였습니다. 이 악성코드는 사용자가 쉽게 속아 넘어가도록 설계되었습니다.

MacDefender는 안티바이러스 소프트웨어로 가장했으며, 사용자는 이 악성코드를 다운로드하기 위해 악성 링크를 클릭해야 했습니다. 이후 소프트웨어 설치를 위해 사용자가 시스템 비밀번호를 입력해야 했습니다.

무심코 사용자가 시스템 비밀번호를 입력하면 공격자는 피해자의 Mac 컴퓨터에 쉽게 접근할 수 있었습니다. 이 악성코드는 2011년에 발견되었으며, 애플은 MacDefender 문제를 해결하기 위해 일련의 OS X 업데이트를 배포했습니다.

2012: Flashback 악성코드: Adobe Flash 설치 프로그램으로 가장함:

2012년, Flashback 악성코드는 전 세계적으로 600,000명 이상의 Mac 사용자를 감염시켰습니다.

이 악성코드는 Java 취약점을 통해 퍼졌으며 봇넷으로 작동했습니다. 기본적으로 이 악성코드는 Adobe Flash 설치 프로그램으로 가장하여 사용자가 가짜 악성코드를 다운로드하도록 속였습니다.

설치 후, 이 악성코드는 비밀번호와 신용 카드 정보와 같은 시스템 데이터를 훔치기 시작했으며, 사용자의 온라인 검색도 악성 웹사이트로 리디렉션되었습니다.

애플은 이 악성코드에 대응하기 위해 Java 애플릿의 자동 실행을 비활성화하는 무료 온라인 제거 도구를 출시했습니다. 이후 전문가들은 오라클이 이 Java 취약점을 실제로 타격하기 몇 달 전에 이미 패치했지만, 애플은 그렇게 빠르지 않았고 Mac 사용자는 이 악성코드에 직면해야 했습니다.

2014: Mac.BackDoor.iWorm: OS X 봇넷:

Dr. Web의 보안 연구자들은 2014년에 이 OS X 봇넷을 발견했으며, 이미 전 세계적으로 17,000명 이상의 Mac 사용자를 감염시켰습니다. 놀랍게도 감염된 Mac는 약 5분 간격으로 악성코드 관리자와 소통할 수 있었습니다.

2014: Wirelurker: 불법 복제된 Mac 앱을 통해 확산

2014년에는 Wirelurker 악성코드가 짧은 시간 동안 존재했습니다. 중국의 Mac 사용자가 이 악성코드의 가장 큰 피해자였습니다.

이 악성코드는 불법 복제된 Mac 앱을 통해 퍼졌습니다. 실제로 비공식 Mac App Store에서 발견된 제3자 애플리케이션에 내장되어 있었습니다.

전문가들은 이 악성코드가 감염된 컴퓨터에서 USB 케이블을 통해 iPhone으로 이동할 수 있었으며, iPhone이 탈옥되지 않은 경우에도 가능하다고 발견했습니다.

이 악성코드를 퍼뜨린 제3자 앱 스토어는 결국 폐쇄되었고, 이 악성코드에 책임이 있는 세 명의 범죄자가 체포되었습니다.

맥 악성코드의 역사는 맥 컴퓨터와 장치가 강화되지 않았음을 분명히 나타내며, 맥 사용자는 반드시 적절한 안티바이러스 소프트웨어로 장치를 보호해야 합니다. 모든 맥 사용자에게 또 하나의 경고는, 소셜 네트워킹 사이트를 통해 불법 복제 링크와 의심스러운 소프트웨어를 다운로드하지 말라는 것입니다.