윈도우와 맥OS 모두 공격하는 자스카고 멀웨어 등장…주의
자크카고(JaskaGO)라는 새로운 멀웨어가 발견됐다. 명령 제어(C&C) 서버에서 다양한 명령을 내릴 수 있는 이 멀웨어는 윈도우와 맥OS 시스템을 모두 공격할 수 있다는 것이 특징이다.
2023년 7월, 맥OS를 표적으로 삼은 JaskaGO가 처음 발견됐으며, 이 멀웨어는 캡컷과 같은 합법적인 소프트웨어의 설치 프로그램으로 위장하는 등 다양한 위장을 사용했다. JaskaGO의 배후에 있는 공격자들은 AnyConnect 및 보안 도구로 위장하는 등의 전술을 사용하는 등 정교한 공격을 진행해 왔다.
설치에 성공하면 JaskaGO는 가상 머신(VM) 환경 내에서 작동하는지 확인하기 위한 검사를 시작한다. 이러한 환경이 감지되면 멀웨어는 탐지를 피하기 위해 구글에 핑을 보내거나 임의의 숫자를 인쇄하는 등 무해해 보이는 작업을 수행한다.
한편 JaskaGO는 피해자의 시스템에서 민감한 정보를 수집하고 추가 지시를 위해 C&C 서버에 연결을 설정한다. 실행할 수 있는 명령의 범위에는 셸 명령, 실행 중인 프로세스 열거, 추가 페이로드 다운로드가 포함된다. 특히, 이 멀웨어는 지갑 주소를 대체해 암호화폐 탈취에 사용하는 전술인 클립보드를 수정하는 기능도 있다. 또한 웹 브라우저에서 파일과 데이터를 빼내어 추가적인 위협을 가할 수도 있다.
맥OS에서 JaskaGO는 다단계 프로세스를 사용해 시스템 내에서 지속성을 확보한다. 루트 권한으로 실행하고, 게이트키퍼 보호 기능을 비활성화하고, 사용자 지정 실행 데몬 또는 실행 에이전트를 생성해 시스템 시작 시 자동 실행을 보장하는 등의 기능도 있다. 하지만 JaskaGO의 배포 방식은 불분명하다.
JaskaGO의 흥미로운 점은 Go 프로그래밍 언어를 사용해 멀웨어 개발의 증가 추세에 기여하고 있다는 점이다. Go는 단순성, 효율성, 크로스 플랫폼 기능으로 유명하기 때문에 다양하고 정교한 위협을 만드는 것을 목표로 하는 멀웨어 제작자에게 매력적인 선택이다.
조직과 개인 모두 최신 위협에 대한 정보를 파악하고 시스템을 정기적으로 업데이트해 JaskaGO와 같은 지능형 크로스 플랫폼 멀웨어로 인한 위협에 대처해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★