Mac 사용자 여러분, 랜섬웨어 조심하세요!

불법 복제 Mac 앱들을 통해 변종 Mac 랜섬웨어인 ‘EvilQuest’가 확산 중이라고, Malwarebytes가 신규 리포트를 발간하면서 이 소식을 전했습니다. 러시아 내의 포럼에서 발견한 이 신종 랜섬웨어는 macOS용 방화벽 프로그램인 Little Snitch의 불법 복제 버전 다운로드 시 발견할 수 있습니다.

이 Little Snitch의 불법 버전을 다운로드하는 시점부터, 무언가 문제가 있다는 것이 명확하게 드러났습니다. Little Snitch 자체도 실제로 설치되었지만 ‘Patch’라는 이름의 실행 파일과 기기를 감염시키기 위한 사후 설치 스크립트도 함께 설치되었습니다. 이 설치 스크립트는 ‘Patch’ 파일을 새로운 위치로 이동한 다음 이름을 ‘CrashReporter’로 변경합니다. ‘활성 상태 보기’에 숨겨진 채로, ‘Patch’ 파일은 Mac의 여러 위치에 자신을 복제합니다.

이 랜섬웨어는 키체인과 같은 Mac의 설정 및 데이터 파일을 암호화하여, 결과적으로 iCloud 키체인에 접근 시 오류를 야기합니다. Finder, Dock 및 기타 앱에서도 문제를 일으킵니다. Malwarebytes에 따르면, 해당 랜섬웨어는 조악하며 이른바 ‘몸값’을 어떻게 지불하라는 지침도 확인할 수 없었다고 합니다. 하지만 포럼에서 확보한 스크린샷에는 파일에 접근하려면 50달러를 내라는 협박 메시지가 있습니다.

*주의: 랜섬웨어에 감염되었다 하더라도 돈을 보내서는 안 됩니다! 돈을 지불해도 악성 소프트웨어는 사라지지 않습니다.

금전 갈취 활동 이외에도, 해당 랜섬웨어는 키보드 입력 활동을 감시하는 프로그램도 설치하는데, 이 동작의 의도가 무엇인지는 알려지지 않았습니다. Malwarebytes에 따르면 이 랜섬웨어는 ‘Ransom.OSX.EvilQuest’로 감지되기 때문에 제거하는 것이 가능하다고 합니다. 물론 암호화된 파일은 백업에서 복구해야만 합니다.

다른 불법 복제 앱을 통해서도 유사한 랜섬웨어에 감염될 수 있습니다. 따라서 Mac 사용자들은 이러한 불상사를 막으려면 불법 복제 앱을 멀리해야 하며, 불법 다운로드를 제공하는 사이트에 접속하지 않아야 합니다.




출처: https://www.macrumors.com/2020/06/30/new-mac-ransomware-pirated-apps/