0xNews - 애플 Apple macOS 사용자를 대상으로 하는 새로운 랜섬웨어 Ransomware 발견

K7 Lab 연구팀 산하 연구원의 각각 발표

EvilQuest 라는 랜섬웨어 Ransomware

설치시 애플의 CrashReporter 이나 구글 Google 소프트웨어 업데이트로 위장한 정상적인 앱과 함께 패키지화

해당 랜섬웨어가 정상 작동하면

피해자의 파일을 암호화

이 외 EvilQuest 는 앱의 지속성 확보

키 입력 기록

리버스 쉘 생성

암호화폐 지갑 관련 파일에 대한 탈취 수행

이번 분석을 통해 EvilQuest 는 이전 macOS 대상 랜섬웨어에서 악명 높은 KeRanger과 Patcher 만큼 위협적이라는 평가

KeRanger 관련 정보 사이트 링크

Patcher 관련 정보 사이트 링크

현재까지 EvilQuest 는 Little Snitch, Mixed In Key 8 이라는 DJ 소프트웨어나 Ableton Live 같은 유명 프로그램의 트로이 목마 버전으로 유포 중

이렇게 유포되어 설치가 된 EvilQuest 는 샌드박스 검사를 통해

절전 패치를 감지하고 디버거에서 맬웨어 프로그램이 실행되지 않도록 안티 디버깅 로직도 갖추고 있음

연구팀은 KeRanger 같은 경우 설치 직시 맬웨어 활동하는 것이 아닌, 3일 정도 유예 기간 후 활동을 언급

이와 같은 맬웨어의 위장이나 우회는 점차 발전할 것이라 판단

또한 시스템에서 이러한 악의적인 동작을 감지하거나 차단할 수 있는 모든 보안 소프트웨어를 종료하고 시작하는 에이전트나 데몬 속성 목록 파일을 사용

사용자가 로그인할 때마다 맬웨어를 자동으로 재시작

마지막 단계에서는 EvilQuest 는 자체 복사본을 시작하여 파일 암호화 수행

암호화폐 지갑이나 키 체인 관련 파일들에 대해 72시간 내 USD 50 지불 등의 대가를 지불하도록 파일을 잠기는 기능을 수행

EvilQuest의 기능을 정리하자면

C&C 서버 통신 - andrewka6.pythonaywhere.com - 하여 명령을 원격으로 실행

키로거를 시작

리버스 쉘을 생성하고 악의적인 페이로드 직접 실행

메모리 부족 현상 유발

결과적으로 공격자는 이 맬웨어에 감염되면 완전 제어 가능

현재 파일 암호화에 대한 암호화 알고리즘 분석 진행 중

macOS 사용자는 데이터 손실이나 방어를 위해 백업 정책과 실행 후 분리 저장 권고

openLab