IT·TECH

새로운 맥 맬웨어는 '노블' 전술을 사용하여 macOS Catalina 보안 우회

Bucket List 2020. 6. 19. 12:01

안티 바이러스 회사 인 Intego의 보안 연구원은 최신 macOS 앱 보안 보호를 우회하도록 사용자를 속이는 새로운 Mac 맬웨어를 발견했습니다.

 

macOS Catalina에서 Apple은 새로운 앱 공증 요구 사항을 도입했습니다. Gatekeeper에서 구운 기능은 사용자가 확인되지 않은 앱을 열지 못하게합니다.

 

악성 코드 작성자가 자신의 전술을 더욱 창의적으로 만들어야 합니다.

 

예를 들어, Intego 연구원은 Google 검색 결과를 통해 널리 확산되는 새로운 트로이 목마 악성 코드를 발견했습니다. 이는 사용자가 그러한 보호를 우회하도록 속임수로 포장되어 있습니다.

 

 

맬웨어는 Adobe Flash 설치 관리자로 가장한 .dmg 디스크 이미지로 제공됩니다. 그러나 일단 사용자 컴퓨터에 탑재되면 악의적인 설치 과정을 안내하는 지침이 표시됩니다.

 

 

 

 

 

 

[그림1. 확인되지 않은 버튼을 클릭하면 표시되는 일반 프롬프트입니다. 크레딧 : Intego]

 

 

 

Intego에서 "신규"라고 기술한 전술에서 맬웨어는 사용자에게 맬웨어를 두번 클릭하는 대신 마우스 오른쪽 단추를 클릭하여 열도록 요청합니다.

 

macOS Catalina Gatekeeper 설정에 따라 "열기" 버튼이 있는 대화 상자가 표시됩니다. 일반적으로 확인되지 않은 파일을 클릭하면 Apple에서는 사용자가 파일을 편리하게 열 수 없습니다.

 

 

 

 

 

[그림2. 파일을 마우스 오른쪽 버튼으로 클릭하고 열면 사용자가 확인되지 않은 소프트웨어를보다 쉽게 ​​실행할 수 있습니다. 크레딧 : Intego]

 

 

 

일반적으로 macOS는 프로세스를 더 어렵게하여 사용자가 확인되지 않은 응용 프로그램을 열지 못하게합니다. 특히, 사용자가 게이트 키퍼를 재정의하기 위해 시스템 환경 설정으로 향하게 합니다.

 

이 전략은 또한 악의적인 행위자가 Apple 개발자 계정에 등록하거나 기존의 계정을 가로채는 것을 방지합니다.

 

사용자가 실제로 설치 프로그램을 열면 bash 셸 스크립트가 실행되고 보다 전통적인 악성앱 번들이 포함된 암호로 보호된 .zip 파일이 추출됩니다.

 

Intego는 처음에 합법적인 버전의 Flash를 설치했지만 "다른 Mac 맬웨어 또는 애드웨어 패키지"를 다운로드하는 데에도 사용될 수 있다고 지적합니다.

 

흥미롭게도 악성 코드는 Google 검색 결과를 통해 확산되어 브라우저의 Flash Player가 오래되었다고 주장하는 악성 웹 페이지로 사용자를 리디렉션합니다.

 

Intego는 지금까지 맬웨어가 대부분의 안티 바이러스 소프트웨어에 의한 탐지를 피할 수 있다고 덧붙였습니다.

 

맬웨어의 실제 악성 부분은 Shlayer 또는 Bundlore와 같은 과거 macOS 트로이 목마의 변형 된 변형입니다. Intego는 2019년에도 비슷한 보안 회피 악성 코드를 발견했습니다.

 

 

 

 

Intego는 Adobe Flash Player가 공식적으로 2020년 12월 31일에 수명이 다하더라도 "오래된 Flash" 멀웨어는 성공한 경향이 있다고 지적했습니다.

 

예를들어 앞서 언급한 Shlayer 트로이 목마는 10명의 Mac 사용자중 약 1명을 감염시킵니다.

 

악성 코드는 Google 검색 결과를 통해 활발하게 퍼지므로 손상 위험이 조금 더 높습니다. Intego는 사용자가 YouTube 비디오의 정확한 제목을 검색 할 때 를 주목하고 있습니다.

 

사용자는 절대적으로 신뢰하는 링크만 클릭하여 이 맬웨어를 피할 수 있습니다. 어떤 웹 사이트에서 요청하지 않은 것을 다운로드하도록 요청하면 웹 사이트를 방문하십시오.

 

손상 표시에는 다음 앱이 포함될 수 있습니다. 

다운로드의 flashInstaller.dmv; private / var / folders의 하위 폴더에 있는 FlashInstaller.zip 파일 또는 "Installer" 라는 파일.

 

 

Intego는 youdontcare.com, display.monster, yougotupdated.com 및 installerapi.com을 포함하여 여러 도메인이 이것과 연결되었습니다. 

 

연구자들은이 도메인을 오가는 모든 트래픽은 "감염의 징후일 수 있다" 고 말했습니다.

 

 

 

 

 

macOS,Catalina,Apple,Google,Flash,malware,