불법 복제된 리틀 스니치 앱에서 맥 랜섬웨어 발견

백신 업체인 말웨어바이트(Malwarebytes)가 오늘 공유한 새로운 보고서에 따르면, 불법 복제된 앱을 다운로드 한 앱으로부터 새로운 랜섬웨어 변종이 발견되었다고 전하고 있습니다.

이번에 발견된 랜섬웨어는 EvilQuest 맥 랜섬웨어의 변종이며, 이 새로운 랜섬웨어는 러시아 포럼에서 발견된 리틀 스니치(Little Snitch, 맥용 네트워크 방화벽 앱)에서 확산되고 있다고 합니다.

그러나 이 파일을 다운로드 하면, 설치 파일 패키지에 Patch 실행파일을 발견 할 수 있어 무엇인가 문제가 있다는 것을 쉽게 알아 차릴 수 있습니다.
리틀 스니치 설치 파일을 실행하면, Patch 실행파일이 “/User/Shared” 디렉토리에 설치되고, 장비를 감염시키기 위한 설치 스크립트도 같이 설치됩니다.

설치 스크립트를 실행하면 패치 파일을 새 위치로 옮기고 맥OS 프로세스인 CrashReporter의 이름을 Activity Monitor로 변경하여 숨겨 두고 Patch 파일을 여러 지점에 설치합니다.

랜섬웨어는 키체인 파일과 같은 맥의 설정 및 데이터 파일을 암호화 하여 아이클라우드 키 체인에 액세스 할 때 문제가 발생합니다.

랜섬웨어 설치 후에는 파인더가 작동하지 않으며, Dock 및 기타 앱에 문제가 발생합니다.

말웨어바이트는 랜섬웨어가 제대로 작동하지 않아, 랜섬웨어 알림창을 볼 수 없었지만 랜섬웨어가 발견된 포럼에서 발견된 스크린 샷은 사용자에게 파일에 대한 액세스를 복구하기 위해 50달러를 지불하라는 메시지가 표시되는 것을 보여줍니다.

※참고: 혹시 이 랜섬웨어에 감염된 사람은 50달러를 지불하지 마시기 바랍니다. 랜섬웨어는 절대로 제거 되지 않습니다.

몸값을 달라는 이 메시지와 함께 이 악성코드는 키 입력 모니터링을 위한 키로거도 설치 할 수 있으나 현재까지는 어떤 작업이 수행되고 있는지 발견되지 않았습니다.

말웨어바이트사는 자사의 말웨어바이트 백신 프로그램으로 이 새로운 랜섬웨어 악성 프로그램을 탐지하여 제거 할 수 있다고 하였으나, 암호화된 파일은 백업된 파일에서 복구해야 한다고 하였습니다.

다른 불법 복제된 앱에서도 현재 비슷한 랜섬웨어가 발견되고 있으므로, 맥 사용자는 불법 복제된 앱과 불법 다운로드를 제공하는 신뢰 할 수 없는 사이트에서의 다운로드를 삼가하시기 바랍니다.

출처: MacRumors

플랜김은 배너광고 수익으로 유지되고 있습니다. '애드블록'이나 '광고차단' 해제는 사이트 운영에 도움이 됩니다.
플랜김은 배너광고 수익으로 유지되고 있습니다. '애드블록'이나 '광고차단' 해제는 사이트 운영에 도움이 됩니다.