맥OS 멀웨어 'XCSSET', 크롬·텔레그램 사용자 타깃 정보유출 공격

2021-07-26     페소아 기자

맥OS 운영체제를 대상으로 하는 것으로 알려진 멀웨어에 추가 기능의 일부로 구글 크롬 및 텔레그램과 같은 앱을 비롯한 다양한 앱에 저장된 민감한 데이터를 수집하고 추출할 수 있는 더 많은 기능을 도구 세트에 추가하기 위해 '전술 개선'을 위한 업데이트가 이루어진 것이 밝혀졌다.

더해커뉴스에 따르면, XCSSET은 Xcode에서 프로젝트 파일을 빌드할 때 실행되는 Xcode IDE 프로젝트에 악성 페이로드를 주입하는 비정상적인 배포 수단을 사용하여 맥 개발자를 대상으로 하는 것이 2020년 8월 밝혀졌다.

XCSSET는 사파리 브라우저 쿠키 읽기 및 덤프, 다양한 웹사이트에 악성 자바스크립트 코드 삽입, Notes, 위챗, 스카이프, 텔레그램과 같은 응용 프로그램에서 정보 도용, 사용자 파일 암호화와 같은 다양한 기능을 제공한다.

올 4월 초 XCSSET은 최신 운영 체제에서 애플의 새로운 보안 정책을 우회하여 맥OS 11 Big Sur와 M1 칩셋에서 실행되는 맥 운영체제를 대상으로 작동할 수 있게 업그레이드 되었다.

트렌드 마이크로 연구원은 "멀웨어는 임시 서명으로 미리 서명된 C2 서버에서 자체 열기 도구를 다운로드하지만, 맥OS 버전 10.15 이하의 경우 여전히 시스템의 내장 열기 명령을 사용하여 앱을 실행한다"라고 언급했다.

지난 22일 발표된 문서에 따르면 XCSSET가 악성 애플스크립트 파일을 실행하여 텔레그램 데이터가 포함된 폴더("~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram")를 ZIP 아카이브 파일에 압축한 후 통제 하에 있는 원격 서버에 업로드해 위협 행위자가 공격 대상자 계정을 사용하여 로그인할 수 있도록 한다.

구글 크롬의 경우 악성 프로그램이 사기성 대화 상자를 통해 루트 권한을 부여하도록 사용자를 속이고 상승된 권한을 이용해 웹 브라우저에 저장된 암호를 훔치려고 시도한다. 이 암호는 '안전 저장소 키'라는 마스터 암호를 사용하여 암호화된다. 승인되지 않은 셸 명령을 실행하여 아이클라우드 키체인에서 마스터 키를 검색한 다음 내용을 해독하고 서버로 전송한다.

크롬 및 텔레그램 외에도 XCSSET는 에버노트, 오페라, 스카이프, 위챗, 애플 자체 연락처 및 메모 앱과 같은 다양한 앱에서 각각의 샌드박스 디렉토리에서 해당 데이터를 검색하여 중요한 정보를 약탈할 수 있다.

연구원들은 "다양한 앱에서 정보를 훔칠 수 있는 방법을 발견한 것은 멀웨어가 영향을 받는 시스템에서 다양한 종류의 정보를 훔치려고 공격적으로 시도하려고 한다는 것을 보여준다"라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★