[보안뉴스 문가용 기자] 최근에 발견된 맥 시스템용 멀웨어가 브라우저 쿠키를 노리는 것으로 밝혀졌다. 또한 공격자들의 궁극적인 목표는 암호화폐와 관련된 정보 및 개인정보인 것으로 나타났다. 이에 대해 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 상세히 공개했다.

[이미지 = iclickart]

이 멀웨어는 OSX.DarthMiner라는 멀웨어를 기반으로 만들어진 것으로 보이며, 팔로알토는 쿠키마이너(CookieMiner)라는 이름을 붙였다. 크롬 브라우저에 저장된 비밀번호를 훔칠 수도 있고, 아이튠즈 백업에서부터 아이폰 문자 메시지를 가져가는 것도 가능하다. 쿠키마이너를 통한 여러 공격이 성공했을 시 공격자는 사용자의 교환 계좌와 암호화폐 지갑에 접속 가능하다. 

“로그인 크리덴셜, 쿠키, 문자 메시지 데이터 등을 훔치는 공격이라고 볼 수 있습니다. 이 정보들을 조합하면 다중인증 장치도 피해갈 수 있게 됩니다. 특히 사용자가 자주 드나드는 암호화폐 거래 사이트의 인증 장치를 무용지물로 만드는 데 도움이 되죠.” 팔로알토의 설명이다. 

또한 쿠키마이너가 감염된 시스템을 조작해 XMRIG와 유사한 채굴용 소프트웨어를 로딩하도록 만드는 것도 발견됐다. XMRIG는 모네로 코인을 채굴하는 소프트웨어다. 그러나 쿠키마이너는 암호화폐 중에서도 덜 알려진 코토(Koto) 코인을 채굴한다고 한다. 코토는 일본과 관련이 있는 암호화폐다.

쿠키마이너는 크롬과 사파리에 저장된 쿠키를 훔치는 데 특화되어 있지만, 사용자 이름과 비밀번호, 신용카드 정보가 크롬에 저장되어 있을 경우, 이 역시도 훔칠 수 있다. 사용자가 맥 컴퓨터와 아이폰을 동기화 해 문자 메시지를 저장했을 경우 문자 메시지도 가져간다. 암호화폐 지갑이나 키와 관련된 정보를 가져가는 건 당연하다.

엠파이어(Empyre)라는 백도어를 사용해 기기에 대한 완전 통제권을 가져가는 채굴형 멀웨어인 다스마이너(DarthMiner)의 경우와 마찬가지로 쿠키마이너도 애플리케이션 방화벽인 리틀 스니치(Little Snitch)가 설치되어 있는지 확인부터 하고, 그 다음 감염을 진행한다. 시스템에 리틀 스니치가 있을 경우 작동을 멈춘다. 

쿠키마이너가 훔치는 쿠키는 암호화폐 교환소와 관련이 있다고 한다. 특히 바이넌스(Binance), 코인베이스(Coinbase), 폴로니엑스(Poloniex), 비트렉스(Bittrex), 비트스탬프(Bitstamp), 마이이더월렛(MyEtherWallet)이 주요 표적이다. 또한 도메인 이름에 블록체인이라는 단어가 있는 웹사이틀과 관련된 쿠키들도 훔친다.

저장된 로그인 크리데셜과 신용카드 정보를 훔치는 데 사용되는 건 harmlesslittlecode.py라는 멀웨어로, 파이선을 기반으로 한 일종의 스크립트다. 

“쿠키마이너는 크리덴셜 정보와 암호화폐 채굴 정보를 훔쳐 이득을 가져가기 위해 만들어진 멀웨어입니다. 필요한 정보를 훔쳐가는 데 성공한다면, 공격자들이 다중인증도 풀어낼 수 있게 됩니다. 그러므로 암호화폐 사용자들은 보안 설정 사항 및 장치들에 대한 확인을 다시 한 번 해볼 필요가 있습니다. 또한 디지털 자산 보호를 위한 대책을 마련하는 게 좋아 보입니다.” 팔로알토의 결론이다.

3줄 요약
1. 맥 환경에서 작동하는 멀웨어, 쿠키마이너. 개인정보와 암호화폐 정보 노림.
2. 개인정보, 크리덴셜, 쿠키, 문자 메시지까지 훔쳐냄. 조합하면 다중인증도 뚫을 수 있음.
3. 다양한 암호화폐 거래소 웹사이트 쿠키 노리는 것도 특징.
[국제부 문가용 기자(globoan@boannews.com)]

[출처]보안뉴스 https://www.boannews.com/media/view.asp?idx=76646&kind=