macOS 사용자를 노리는 새로운 EvilQuest 랜섬웨어 발견

New EvilQuest ransomware discovered targeting macOS users

보안 연구원들이 macOS 사용자를 노리는 새로운 랜섬웨어를 발견했습니다. OSX.EvilQuest라 명명된 이 랜섬웨어는 기존 macOS 랜섬웨어와는 다릅니다. 

이는 피해자의 파일을 암호화할 뿐만 아니라 감염시킨 호스트에서 키로거, 리버스 셸을 설치하고 가상 화폐 지갑과 관련된 파일을 훔칩니다.

Jamf의 보안 연구원인 Patrick Wardle은 이러한 기능을 갖춘 공격자는 감염된 호스트 전체를 완전히 제어할 수 있기 때문에, 피해자가 돈을 지불하더라도 공격자는 계속 컴퓨터에 접근하여 파일 및 키보드 입력을 훔칠 수 있다고 설명했습니다.

Wardle뿐만 아니라 Malwarebytes의 Thomas Reed, SentinelOne의 Phil Stokes 또한 이 악성코드를 연구하고 있으며 복호화 툴을 개발하기 위한 취약점을 찾고 있습니다.

EvilQuest, 해적판 소프트웨어 통해 배포돼

EvilQuest 랜섬웨어를 처음으로 발견한 연구원은 K7Lab 연구원인 Dinesh Davadoss입니다. 그는 지난 6월 29일 트위터를 통해 이 랜섬웨어를 발견했다고 밝혔습니다. 

하지만 발견된 여러 증거를 분석한 결과 EvilQuest는 2020년 6월 초부터 실제 공격에 사용된 것으로 나타났습니다.

Reed는 ZDnet과의 전화 통화에서 토렌트 포털 및 온라인 포럼에 업로드된 해적판 macOS 소프트웨어의 내부에 EvilQuest가 숨겨져 있는 것을 발견했다고 밝혔습니다.

Devadoss는 Google Software Update라는 패키지에 EvilQuest가 숨겨진 것을 발견했다고 밝혔습니다. 

Wardle은 유명한 DJ 소프트웨어인 Mixed In Key의 해적판에서 EvilQuest의 샘플을 발견했으며, Reed는 macOS 보안 툴인 Little Snitch에서 이 악성코드를 발견했습니다.

 

<EvilQuest로 감염된 해적판 macOS 애플리케이션을 배포하는 러시안 포럼>

<이미지 출처: https://blog.malwarebytes.com/mac/2020/06/new-mac-ransomware-spreading-through-piracy/>

하지만 Reed는 이 랜섬웨어가 위 프로그램 3개뿐 아니라 다른 경로를 통해서도 배포되었을 가능성이 높다고 밝혔습니다.

Wardle은 EvilQuest에 대한 기술적 분석을 발표해 이 악성코드는 그리 복잡하지 않으며 실행 직후 피해자의 파일을 암호화한다고 밝혔습니다.

파일 암호화 체계가 끝나면, 아래 팝업이 사용자에게 보이며 사용자에게 컴퓨터가 감염되어 파일이 암호화되었음을 알립니다.

<이미지 출처: https://twitter.com/dineshdina04/status/1277668001538433025>

피해자는 자신의 데스크톱에 생성된 랜섬노트를 확인하라는 메시지를 받습니다. 랜섬노트는 아래와 같습니다.

 

<이미지 출처: https://objective-see.com/blog/blog_0x59.html>

Stokes는 이 랜섬웨어가 아래 확장자를 가진 파일을 암호화한다고 밝혔습니다.

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

암호화 프로세스가 끝나면 이 랜섬웨어는 키로거를 설치해 사용자의 키 입력을 기록하고, 공격자가 감염된 호스트에 연결해 커스텀 명령을 실행할 수 있도록 리버스 셸을 설치합니다. 

또한 아래 가상 화폐 지갑 애플리케이션 관련 파일을 찾습니다.

"wallet.pdf"

"wallet.png"

"key.png"

"*.p12"

Reed는 EvilQuest가 크롬 업데이트 메커니즘과 관련된 파일을 수정하여 감염된 호스트에서 지속성을 얻으려 시도했다고 밝혔습니다.

EvilQuest는 KeRanger와 Patcher 다음으로 macOS 사용자를 노린 세 번째 랜섬웨어 변종입니다. 

또 다른 macOS 랜섬웨어 변종인 Mabouia는 이론일 뿐이었으며 실제 공격에 사용되지는 않았습니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.OSX.MacRansom'으로 탐지 중에 있습니다.

출처:

https://www.zdnet.com/article/new-evilquest-ransomware-discovered-targeting-macos-users/

https://objective-see.com/blog/blog_0x59.html

https://blog.malwarebytes.com/mac/2020/06/new-mac-ransomware-spreading-through-piracy/