Kaspersky에 따르면, 사이버 범죄자들이 맥 사용자를 대상으로 인기 있는 저작권 보유 macOS 소프트웨어에 번들로 제공되는 새로운 프록시 트로이 멀웨어를 이용한 공격을 시작했습니다. 이 공격은 프리미엄 앱에 대한 비용을 피하려는 사람들의 의지를 이용하며, 이미지 편집, 비디오 압축 및 편집, 데이터 복구, 네트워크 스캔 도구 등 35개의 프록시 트로이 멀웨어가 포함된 도구를 사용하여 무료 버전의 상업용 소프트웨어를 찾는 사용자를 유인합니다.
프록시 트로이 멀웨어는 컴퓨터를 감염시켜 해킹, 피싱, 불법 상품 거래 등의 악의적이거나 불법적인 활동을 익명화하는 데 사용되는 트래픽 전달 터미널로 변환합니다. 이러한 활동은 대규모 봇넷을 만들어내는 유익한 사업으로, 맥 장치도 이러한 활동에서 제외되지 않았습니다. 이러한 멀웨어는 설치 중에 스크립트를 실행할 수 있는 PKG 파일로 다운로드되며, 이 스크립트는 설치 후에 트로이 멀웨어를 실행하고 시스템 프로세스처럼 보이게 합니다.
이 트로이 멀웨어는 그래픽 사용자 인터페이스를 관리하는 macOS의 합법적인 시스템 프로세스인 WindowServer를 이용하여 일반 시스템 작업과 혼합되어 사용자의 감시를 피하려고 합니다. 이 파일은 OS 시작 시 WindowServer를 실행하는 "GoogleHelperUpdater.plist"라는 이름으로, 사용자가 무시하도록 Google 구성 파일을 모방합니다. 트로이 멀웨어가 시작되면, 이는 DNS-over-HTTPS (DoH)를 통해 C2 (command and control) 서버에 연결하여 작업과 관련된 명령을 받습니다.
요약
- Kaspersky는 사이버 범죄자들이 맥 사용자를 대상으로 인기 있는 저작권 보유 macOS 소프트웨어에 번들로 제공되는 새로운 프록시 트로이 몰웨어를 이용한 공격을 시작했다.
- 이 공격은 프리미엄 앱에 대한 비용을 피하려는 사람들의 의지를 이용하며, 이미지 편집, 비디오 압축 및 편집, 데이터 복구, 네트워크 스캔 도구 등 35개의 프록시 트로이 몰웨어가 포함된 도구를 사용하여 무료 버전의 상업용 소프트웨어를 찾는 사용자를 유인한다.
- 이 트로이 몰웨어는 그래픽 사용자 인터페이스를 관리하는 macOS의 합법적인 시스템 프로세스인 WindowServer를 이용하여 일반 시스템 작업과 혼합되어 사용자의 감시를 피하려고 한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.