보안 글로벌 24 시간
2 사이nd그리고 6일5 월 수동 브레이크 소프트웨어 다운로드 미러 링크 (download.handbrake.fr)가 손상되었고 개발자는 경고 6에 고시일MacOS 시스템이 악명 높은 Proton Remote Access Trojan (RAT)에 감염되었는지 여부를 사용자에게 안내하기 위해 해당 기간 동안 수행 된 모든 다운로드의 약 50 %가 감염된 장치 시스템을 초래 한 것으로보고되었습니다. 이제 연구진은 Kaspersky Proton RAT 악성 코드의 전임자 인 Calisto를 우연히 발견했습니다. 기본 파일 편집을 위해 관리자 자격 증명을 요구하는 SIP (System Integrity Protection)를 우회 할 수있는 능력이 없기 때문에 Proton보다 1 년 전에 개발되었다고 믿습니다. 당시에 개선되고 있던 기능입니다. Kaspersky의 연구원들은 Calisto의 코드가 광택 처리되지 않은 것처럼 보이기 때문에 Calisto가 Proton을 선호하여 포기되었다고 결론지었습니다. Calisto는 VirusTotal , 그리고 바이러스는 지금까지 발견되지 않은 채 2 ~ 3 년 동안 그곳에 남아있는 것으로 보입니다.
Proton RAT는 2016 년 말에 처음 출시 된 위험하고 강력한 맬웨어로, 정품 Apple 코드 서명 인증서를 사용하여 시스템을 조작하고 MacOS 장치에서 루트 액세스 권한을 얻습니다. 이 악성 코드는 iCloud의 2 단계 인증 및 시스템 무결성 보호를 포함한 모든 보안 조치를 우회 할 수 있으므로 키 입력을 기록하고 잘못된 팝업을 실행하여 정보를 수집하고 스크린 샷을 찍고 모든 것을 원격으로 확인하여 컴퓨터 활동을 원격으로 모니터링 할 수 있습니다. 화면에서의 활동, 관심있는 데이터 파일 추출, 웹캠을 통해 사용자 관찰. 탐지 된 맬웨어를 제거하는 간단한 방법이있는 것 같지만 시스템에서 활성화 된 것으로 확인되면 (장치의 Activity Monitor 응용 프로그램에 'Activity_agent'프로세스가 나타나는 경우) 사용자는 모든 암호를 저장하고 브라우저 또는 Mac의 자체 키 체인에 저장된 모든 데이터에 액세스했습니다. 따라서 사용자는 재무 및 온라인 데이터 손상을 방지하기 위해 즉시 깨끗한 장치에서 변경해야합니다.
Proton RAT에 대해 가장 흥미로운 점은 뉴저지 사이버 보안 및 통신 통합 셀 (NJCCIC) , 멀웨어 제작자는 자녀의 디지털 활동을 가정에서 모니터링하기 위해 기업 및 부모를위한 모니터링 소프트웨어로 광고했습니다. 이 소프트웨어는 사용자에게 부여 된 라이선스 및 기능에 따라 USD $ 1,200에서 USD $ 820,000 사이의 가격표를 적용했습니다. 그러나 이러한 '모니터링'기능은 불법이었고 해커가 코드를 손에 넣었 기 때문에 프로그램은 YouTube 비디오, 손상된 웹 포털, HandBrake 소프트웨어 (이 경우 HandBrake-1.0. 7.dmg는 OSX.PROTON 파일로 대체 됨) 및 다크 웹을 통해. SIP가 활성화되고 작동하는 한 사용자는 Calisto를 두려워 할 필요가 없지만 연구원들은 인증 된 Apple 자격 증명으로 시스템을 조작하는 코드의 기능을보고 동일한 메커니즘을 사용하여 향후 맬웨어가 수행 할 수있는 작업을 두려워합니다. 이 단계에서 Proton RAT는 일단 감지되면 제거 할 수 있습니다. 그러나 동일한 기본 인증서 조작에 대해 작업하면서 맬웨어는 곧 영구 에이전트로 시스템에 잠길 수 있습니다.
