“현재 확산 중…맥OS 위협 진화 보여주는 중요한 사례”
맥OS 사용자를 겨냥한 정보 탈취형 악성코드 'Banshee(밴시)'가 애플의 XProtect(엑스프로텍트) 암호화 기법을 활용해 탐지를 회피하고 있는 것으로 나타났다. 최근 두 달간 이 악성코드는 더욱 정교해진 변종으로 진화하며, 보안 툴을 속이고 사용자 데이터를 탈취하고 있다. 보안 전문가들은 이와 같은 맥OS 악성코드의 고도화가 새로운 위협으로 자리 잡고 있다고 경고했다.
■밴시, 서비스형 악성코드에서 글로벌 위협으로
밴시는 2024년 중반 처음 등장한 서비스형 악성코드(Stealer-as-a-Service)로, 사이버 범죄자들에게 3,000달러(약 440만원)에 판매되며 주목받았다. 이 악성코드는 맥OS 시스템을 주요 표적으로 삼으며, 애플 사용자를 노리는 새로운 유형의 공격으로 평가받았다. 그러나 2024년 11월, XSS 포럼에 소스코드가 유출되며 공개적인 운영이 중단됐다. 이후 이 소스코드를 바탕으로 한 정교한 변종이 개발되면서 더욱 강력한 악성코드로 진화했다.
체크포인트(Check Point Research)에 따르면, 최신 밴시 변종은 애플의 XProtect 암호화 기법을 활용한 문자열 암호화 방식을 도입했다. XProtect는 맥OS에 내장된 악성코드 탐지 시스템으로, 안티바이러스 시그니처와 유사한 규칙을 통해 알려진 위협을 식별하고 차단한다.
밴시는 XProtect의 암호화 방식을 모방해 악성코드 문자열을 실행 시점에만 복호화하는 방식을 사용한다. 이로 인해 다음과 같은 효과를 얻고 있다.
-맥OS의 정상적인 운영과 구별하기 어렵다.
-비활성 상태의 코드 분석을 기반으로 한 정적 탐지 기법을 우회할 수 있다.
-XProtect의 암호화 기법과 유사한 방식으로 보안 툴의 의심을 줄인다.
이와 같은 기법을 통해 밴시는 맥OS 및 서드파티 보안 도구의 탐지를 효과적으로 회피하며, 시스템 내부에서 장기간 활동할 수 있는 환경을 확보하고 있다.
최신 밴시 악성코드는 주로 깃허브(GitHub)의 악성 저장소를 통해 배포된다. 이 저장소들은 정상적인 소프트웨어를 가장해 사용자를 속이고, 악성코드를 다운로드 및 실행하도록 유도한다. 밴시는 맥OS뿐 아니라 윈도우 사용자를 대상으로도 공격을 시도하며, 윈도우 시스템에는 ‘루마 스틸러(Lumma Stealer)’라는 유사 악성코드를 배포하고 있다.
밴시가 설치되면 다음과 같은 데이터를 탈취한다.
-Chrome(크롬), Brave(브레이브), Edge(엣지), Vivaldi(비발디) 등의 브라우저에 저장된 비밀번호와 자동완성 데이터
-2단계 인증 확장 프로그램
-가상화폐 지갑 정보
또한, 시스템 및 네트워크 정보를 수집하고, 맥OS 암호를 탈취하기 위해 가짜 로그인 프롬프트를 제공한다. 탈취된 데이터는 공격자 서버로 전송된다.
밴시 소스코드가 유출된 이후에도 악성코드는 지속적으로 피싱 캠페인을 통해 배포되고 있다. 체크포인트는 다수의 공격 활동 클러스터를 분석했으며, 이는 밴시의 기능이 전 세계 다양한 공격자들에 의해 활용되고 있음을 보여준다. 또한, 기존에는 러시아 시스템을 회피했던 전략이 변경되며, 특정 대상 없이 더욱 폭넓게 확산되고 있다.
보안 전문가들은 밴시의 XProtect 암호화 기법 활용이 맥OS 악성코드의 새로운 고도화 사례라고 경고했다. 체크포인트는 "이는 맥OS 위협의 진화를 보여주는 중요한 사례다. 공격자들이 정당한 기술을 악용해 탐지를 회피하는 수준에 이르고 있다"고 지적했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★