상세 컨텐츠

본문 제목

macOS 악성코드 XCSSET, 구글 크롬 및 텔레그램 소프트웨어 노려

국내외 보안동향

by 알약4 2021. 7. 26. 09:00

본문

 

 

Nasty macOS Malware XCSSET Now Targets Google Chrome, Telegram Software

 

macOS를 공격하는 것으로 알려진 XCSSET 악성코드가 구글 Chrome 및 Telegram을 포함한 다양한 앱에 저장된 민감 데이터를 수집하도록 또 한번 업데이트되었습니다.

 

XCSSET은 지난 20208월 처음으로 발견되었으며, macOS 개발자를 노리며 흔히 사용하지 않는 배포 수단을 통해 Xcode 내 프로젝트 파일을 빌드할 때 실행되는 악성 페이로드를 Xcode IDE 프로젝트에 주입했습니다.

 

이 악성코드는 Safari 브라우저 쿠키 읽기 및 덤프, 다양한 웹사이트에 악성 JavaScript 코드 삽입, Notes, WeChat, Skype, Telegram을 포함한 애플리케이션에서 정보 훔치기, 사용자 파일 암호화하기 등과 같은 다양한 기능을 제공합니다.

 

4월 초, XCSSET은 애플이 최신 OS에서 적용한 새로운 보안 정책을 우회하여 macOS 11 Big SurM1 칩셋을 사용하는 맥을 노리도록 업그레이드되었습니다.

 

Trend Micro의 연구원들은 이와 관련하여 아래와 같이 언급했습니다.

 

해당 악성코드는 ad-hoc 서명으로 미리 서명된 C2로부터 자체 오픈 툴을 다운로드합니다. 만약 macOS 버전 10.15 및 이전 버전에서 실행될 경우 앱을 실행하기 위해 시스템에 내장된 오픈 커맨드를 사용합니다.”

 

 

<이미지 출처 : https://thehackernews.com/2021/07/nasty-macos-malware-xcsset-now-targets.html>

 

 

지난 목요일 발표된 새로운 문서에 따르면, XCSSET은 악성 AppleScript 파일을 실행해 텔레그램 데이터가 포함된 폴더를 ("~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram") ZIP 파일에 압축하는 것으로 밝혀졌습니다. 공격자는 이를 자신이 제어하는 원격 서버에 업로드해 공격자가 피해자 계정을 통해 로그인할 수 있도록 합니다.

 

이 악성코드는 구글 크롬에서 안전한 스토리지 키라는 마스터 비밀번호를 사용하여 웹 브라우저 내 저장된 비밀번호를 암호화해 훔치려 시도합니다. 이들은 사기성 대화창을 통해 사용자가 루트 권한을 부여하도록 속이며, 상승된 권한으로 허가되지 않은 셸 명령을 실행하고 iCloud Keychain으로부터 마스터키를 받아오고 해당 키는 서버로 전송 및 복호화됩니다.

 

XCSSET은 Chrome과 Telegram 이외에도 Evernote, Opera, Skype, WeChat 등 다양한 애플리케이션과 애플의 연락처 및 노트 앱에서 각각의 샌드박스 디렉토리에서 데이터를 받아오는 방식으로 다양한 정보를 훔치는 기능을 포함하고 있습니다.

 

다양한 앱에서 정보를 훔치는 방법을 발견함으로써 악성코드가 취약한 시스템에서 다양한 종류의 정보를 훔치려는 공격적인 시도에 대해 알 수 있었습니다.”

 

 

 

 

 

출처:

https://thehackernews.com/2021/07/nasty-macos-malware-xcsset-now-targets.html

https://www.trendmicro.com/en_us/research/21/g/updated-xcsset-malware-targets-telegram--other-apps.html

관련글 더보기

댓글 영역