macOS DNS 세팅에서 발생한 MaMi 맬웨어의 보안취약성
최근 연구에 따르면, macOS의 맬웨어 취약점이 들어났습니다.
MaMi라고 불리는 이 악성코드는 보안 관련 연구원인 Patrick Wardle 가 발견했습니다.
사용자가 Malwarebytes 포럼 게시판에 올린 게시물에 의해 DNS 하이재킹(Hijacking)이 발생했으며, 강제로 DNS 항목을 제거했음에도 불구하고, DNS 주소 변경사항이 (82.163.143.172 및 82.163.142.174) 계속 유지되었다고 합니다.
해당 취약점은 현재까지 유일하게 "MyCoupon" 이라는 소프트웨어에서만 보고되었습니다. 원래 불필요 소프트웨어로 분류된 MyCoupon은 DNS 항목의 도용으로 인해 더욱 위험한 소프트웨어가 되었습니다.
다행인점은 MaMi는 정교하지는 않습니다. 개발 과정에서 새롭게 나타난 맬웨어는 서명되지 않은 'Mach-O 64 bit' 실행 파일이 응용 프로그램 버전 1.1.0으로 나타났습니다.
그러나 MaMi의 제작자는 DNS 도용, 스크린 샷 캡처, 파일 다운로드 및 업로드, 임의 코드 실행 기능을 포함하고 있으며, 해당 항목은 CPU리소스를 계속 차지하며, 활성화된 프로세스로 유지 될 수도 있습니다.
Wardle은 Mami 맬웨어의 감염 방법이 여전히 수수께끼로 남아 있지만 맬웨어는 여러 도메인에서 호스팅되고 있다고 말했습니다.
연구원은 맬웨어의 구성 데이터를 해독하는 것이 사소한일임을 발견했으며 MaMi는 Man-in-The-Middle 공격 (MiTM)을 허용하는 키 체인 액세스 응용 프로그램을 통해 인증서를 설치한다는 사실을 발견했습니다.
"OSX/MaMi는 특별히 발전된 것은 아니지만, 감염된 시스템을 귀찮고 지속적인 방식으로 변경합니다."
라고 연구원은 지적했다. 또한 새로운 루트 인증서를 설치하고 DNS 서버를 하이재킹함으로써 공격자는 자격 증명을 훔치거나 광고를 삽입하는 등 다양한 행동을 수행 할 수 있습니다.
블로그에 해당 문제를 게시할 당시 59 개 백신 엔진이 해당 문제에 관하여 [문제없는 것]으로 표시했습니다. 그러나 바이러스 백신 제품이 이제 맬웨어를 탐지하고 차단하기 시작했으며 59 개 엔진 중 26 개가 MaMi 맬웨어가 OS X 시스템에 침투하는 것을 차단하고 있습니다.
