Offcanvas

랜섬웨어 / 보안

팔로알토 네트웍스, '애플 맥 OS 노리는 신종 랜섬웨어' 경고

2016.03.08 편집부  |  CIO KR
팔로알토 네트웍스가 애플 맥용 운영체제 OS X를 겨냥한 랜섬웨어가 등장했다고 밝혔다.

팔로알토 네트웍스는 자사의 보안 인텔리전스 센터 유닛24(Unit 24) 블로그를 통해 ‘키레인저(KeRanger)’라고 명명된 랜섬웨어에 의해 맥용 파일 공유 클라이언트 ‘트랜스미션 비트토렌트(Transmission BitTorrent)’의 설치 프로그램이 감염된 것을 확인했다.



키레인저는 2014년 발견됐던 OS X 랜섬웨어로 알려진 파일코더(FileCoder)와 달리 OS X 플랫폼에서 작동하는 완전한 기능을 갖춘 랜섬웨어로 분석된다.

이번에 감염된 ‘트랜스미션’은 오픈 소스 프로젝트로, 트랜스미션의 공식 웹 사이트가 손상됐을 가능성과 파일이 재컴파일된 악성 버전으로 교체됐을 수 있는 가능성 등이 제기되고 있으나 정확한 감염 경로는 현재 확인되지 않은 것으로 나타났다.

키레인저 애플리케이션은 유효한 인증서를 통해 개발돼 애플의 게이트키퍼(Gatekeeper) 보안을 우회하는 것이 가능하다. 사용자가 감염된 애플리케이션을 설치하면 내장된 실행 파일이 시스템에서 실행되며, 키레인저는 3일간 잠복해 있다가 토르(Tor) 익명 네트워크를 통해 명령 및 컨트롤과 연결된다.

이 후 시스템에 있는 특정 유형의 문서와 데이터 파일을 암호화해, 암호화 과정이 끝나면 피해자에게 파일을 풀기 위해 특정 주소로 비트코인(약 400달러)을 지불하라고 요구하고 있다. 키레인저는 여전히 활성화 된 상태로 분석되고 있으며, 피해자가 백업 데이터를 복구하지 못하도록 타임 머신(Time Machine) 백업 파일에 대한 암호화도 시도하고 있는 것으로 파악됐다.

팔로알토 네트웍스는 최초 발견한 3월 4일에 트랜스미션 프로젝트(Transmission Project)와 애플(Apple)에 랜섬웨어 문제를 고지했다. 이후 애플은 악용된 인증서를 취소하는 한편 XProtect 안티바이러스 시그니처를 업데이트했으며, 트랜스미션 프로젝트는 해당 웹 사이트에서 악성 설치 프로그램을 제거하는 조치를 취했다. 또한 팔로알토 네트웍스는 키레인저가 시스템에 미치는 영향을 중단시키기 위해 URL 필터링 및 위협 분석 플랫폼 업데이트를 완료했다.

2016년 3월 4일 오전 11시부터 3월 5일 오후 7시까지 공식 웹 사이트에서 트랜스미션 설치 프로그램을 직접 다운로드 한 사용자는 키레인저에 감염됐을 수 있다고 업체는 설명했다. 트랜스미션 설치 프로그램을 이 시간 이전에 다운로드 했거나 제3의 웹 사이트에서 다운로드 한 사용자는 보안 검사를 권장하며, 이전 버전의 트랜스미션 사용자는 현재까지 영향이 없는 것으로 분석된다고 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.