Mac에서 Gmera Trojan Mac 바이러스를 제거하는 6가지 수정 사항

연구원들은 Apple Mac을 사용하는 암호화 딜러를 대상으로 하는 트로이 목마인 “Gmera Trojan Mac”을 발견했습니다. 맬웨어는 도메인 및 사용자 인터페이스가 유사한 신뢰할 수 있는 웹사이트를 모방하여 부주의한 사용자가 해당 웹사이트를 방문하도록 속여 사용자를 감염시킵니다.

ESET에 따르면 사이버 보안 회사인 ESET의 연구원들이 “브라우저 쿠키, 암호화 지갑 및 스크린샷”을 사용하여 데이터를 훔칠 수 있는 맬웨어를 발견했습니다.

Mac용 Gmera 트로이 목마는 무엇이며 어떻게 작동합니까?

GMERA는 Apple Mac 사용자를 위한 합법적인 거래 도구인 Stockfolio를 가장한 악성 멀웨어입니다. 연구에 따르면 이 맬웨어에는 두 가지 종류가 있으며 그 중 하나는 트로이 목마로 식별되었습니다. 전자는 MacOS.GMERA.A로 알려져 있고 후자는 Trojan으로 알려져 있습니다. macOS.GMERA.B.

사이버 범죄자는 종종 GMERA를 사용하여 데이터를 훔쳐 자신이 제어하는 웹사이트에 업로드합니다. 이 감염으로 인한 손상을 방지하려면 가능한 한 빨리 GMERA를 제거하십시오.

유형

Trojan.MacOS.MERA.A

Gmer Mac Trojan은 가상의 인물입니다. macOS.MERA. 사용자 이름, IP 주소, Applications 폴더의 응용 프로그램, /Documents 및 /Desktop 디렉터리의 파일과 같은 사용자 정보가 샘플에서 수집됩니다.

또한 OS 설치 날짜, 그래픽을 캡처하고 정보, 무선 정보 및 스크린샷을 표시합니다.
사이버 범죄자가 운영하는 서버로 정보를 보냅니다.
도난당한 데이터/세부 정보에는 다양한 방법으로 돈을 버는 데 사용되는 민감한 정보가 포함될 수 있습니다.
개인 정보를 취득하면 개인 정보 침해, 신원 도용, 재정적 손실 및 기타 문제가 발생할 수 있습니다.

Trojan.MacOS.GMERA.B

Trojan.MacOS.GMERA.B(Gmera Trojan Mac) 변종은 피해자의 사용자 이름, IP 주소, 기타 여러 파일과 같은 정보를 수집합니다.

하나는 시스템 재시작, 재부팅, 로그아웃 등 후에도 GMERA가 계속 실행되도록 하는 “지속성 메커니즘” 역할을 합니다.
일단 실행되면 GMERA와 같은 소프트웨어는 실제 Stockfolio 거래 앱 뒤에 숨어 백그라운드에서 실행됩니다.
감염을 제거하기 위해 즉각적인 조치를 취하십시오.

일하고 있는

Gmera Trojan Mac 운영자는 합법적인 웹사이트를 모방하여 맬웨어를 배포합니다. 이러한 웹사이트는 놀라울 정도로 동일하며 훈련되지 않은 눈에는 진짜처럼 보입니다.

연구원들은 맬웨어가 어디에서 확산되고 있는지 전혀 몰랐지만 Kattana는 사용자에게 트로이 목마를 다운로드하도록 유인하는 악의적인 사칭 서비스에 대해 경고했습니다.

그러나 연구원들은 이 캠페인을 GMERA 악성코드와 연결할 수 없었습니다. 연구원들에 따르면 감염은 트로이목마를 통해서도 퍼졌다.

증상

트로이 목마는 피해자의 컴퓨터에 침투하여 눈에 띄지 않게 이동하도록 설계되었으므로 감염된 PC에는 뚜렷한 징후가 없습니다. 감염된 이메일 첨부 파일, 사기성 웹 마케팅, 사회 공학 및 소프트웨어 해킹은 합법적인 Stockfolio 애플리케이션의 악의적인 변종입니다.

감염원

최근 공격에서 GMERA 바이러스 개발자가 실제 비트코인 거래 애플리케이션 Kattana의 악성 버전을 사용한 것으로 밝혀졌습니다.

GMERA 맬웨어의 제작자는 현재 Kattana를 맬웨어로 바꿨습니다.
그들은 또한 Apple Mac 사용자를 위한 암호 화폐 거래 악성 코드에 대한 웹 페이지를 개발했습니다.
아마도 운영자는 의도한 피해자에게 개인적으로 연락하여 멀웨어를 설치하도록 설득했을 것입니다.
브라우저 쿠키, 검색 기록 및 암호 화폐 지갑 암호는 리버스 쉘을 사용하여 도난당했습니다.

Gmera Mac 트로이 목마를 제거하는 단계

1. Gmera Mac 트로이 목마와 관련된 파일 및 폴더 제거

메뉴 막대에서 Finder 아이콘을 클릭합니다. “이동”을 선택한 다음 “폴더로 이동…”을 선택합니다.
/Library/LaunchAgents 폴더에서 맬웨어에 의해 생성된 의심스럽고 신뢰할 수 없는 파일을 찾습니다.

Launch Agent 폴더에서 최근에 다운로드한 모든 파일을 찾아 휴지통 폴더로 이동합니다.

“myppes.download.plist”, “mykotlerino.Itvbit.plist”, “installmac.AppRemoval.plist”, “kuklorest.update.plist” 등은 브라우저 하이재커 또는 애드웨어에 의해 생성된 파일의 몇 가지 예입니다.
“/Library/Application” 지원 폴더에 있는 애드웨어 파일 탐지 및 제거.
“폴더로 이동…” 패널에 “/Library/Application Support”를 입력합니다.
Application Support 폴더에서 최근에 추가된 의심스러운 디렉토리를 찾으십시오.
“NicePlayer”또는 “MPlayerX”와 같은 항목을 찾으면 휴지통 폴더로 이동하십시오.
/Library/LaunchAgent 폴더에서 맬웨어에 의해 생성된 파일을 찾습니다.
의심스러운 파일을 발견하면 해당 파일을 찾아 휴지통 폴더로 이동해야 합니다.
/Library/LaunchDaemons 폴더에서 맬웨어에 의해 생성된 파일을 찾습니다.
폴더 찾아보기 필드에 /Library/LaunchDaemons를 입력합니다.
새로 열린 “LaunchDaemons” 폴더에서 최근에 추가된 의심스러운 파일을 검색하고 “Trash” 폴더로 이동합니다.

2. 인터넷 브라우저에서 Gmera 제거

Safari에서 의심스럽고 악의적인 확장 프로그램을 제거합니다.

“메뉴 모음”에서 “Safari” 브라우저를 엽니다. 드롭다운 메뉴에서 “Safari”를 선택한 다음 “설정”을 선택합니다.
열리는 설정 창에서 최근에 설치한 “확장 프로그램”을 선택합니다.
이러한 확장 프로그램은 모두 인식되어야 하며 제거하려면 확장 프로그램 옆에 있는 “제거” 버튼을 클릭해야 합니다. 여전히 확실하지 않은 경우 브라우저가 제대로 작동하는 데 필요한 확장 프로그램이 없기 때문에 Safari 브라우저에서 모든 확장 프로그램을 제거할 수 있습니다.
원치 않는 웹 페이지 리디렉션 또는 방해가 되는 광고를 계속 수신하는 경우 Safari 브라우저 설정을 재설정할 수 있습니다.

사파리 재설정

Safari 메뉴 에서 “환경 설정”을 선택하십시오 .
확장 탭에서 확장을 “끄기”로 설정하십시오. 이 설정으로 인해 Safari에 설치된 확장 프로그램이 비활성화됩니다.
설정 메뉴에서 일반 탭을 선택합니다. 기본 홈페이지를 원하는 URL로 바꿉니다.
검색 엔진에 대한 기본 공급자 설정을 검사합니다. “설정” 필드에서 “검색” 탭을 선택하고 “Google”과 같은 원하는 검색 엔진을 선택합니다.

Safari 브라우저에서 캐시 지우기

“고급” 탭을 선택하고 “설정” 상자에서 “메뉴 표시줄에 개발 메뉴 표시”를 선택합니다.
개발 메뉴에서 캐시 지우기를 선택합니다.
인터넷 사용 기록 및 웹 사이트 데이터를 지웁니다. “Safari” 메뉴에서 “Clear History and Website Data”를 선택합니다.
그런 다음 “모든 기록”을 선택한 다음 “기록 지우기”를 선택하십시오.

Mozilla Firefox: 원치 않는 악성 플러그인 제거

Gmera 애드온은 Mozilla Firefox에서 제거해야 합니다.
Mozilla Firefox 웹 브라우저를 시작합니다. 화면 우측 상단의 “메뉴 열기” 버튼을 클릭합니다.
열리는 메뉴에서 애드온을 선택합니다.
최근에 설치된 모든 추가 기능 목록을 보려면 드롭다운 메뉴에서 “확장 프로그램”을 선택하십시오.
의심스러운 추가 기능을 모두 선택하고 옆에 있는 “제거” 버튼을 클릭하여 제거하십시오.

Mozilla Firefox 기본 설정 재설정

Mozilla Firefox 브라우저를 “다시 로드”하려면 아래 지침을 따르십시오.

Firefox Mozilla 브라우저를 열고 화면 왼쪽 상단의 “Firefox” 버튼으로 이동합니다.
새 메뉴의 “도움말” 하위 메뉴에서 “문제 해결 정보”를 선택합니다.
문제 해결 정보 화면에서 Firefox 재설정 버튼을 클릭합니다.
“Firefox 재설정” 옵션을 선택하면 Mozilla Firefox 설정을 공장 기본값으로 재설정할 것임을 확인하는 것입니다. 브라우저가 다시 시작되고 설정이 공장 설정으로 재설정됩니다.

Chrome: 원치 않는 악성 확장 프로그램 제거

Chrome 브라우저를 열고 드롭다운 메뉴에서 “Chrome 메뉴”를 선택합니다. 메뉴에서 “추가 도구”를 선택한 다음 “확장 프로그램”을 선택합니다.
확장 탭에서 최근에 설치된 모든 추가 기능 및 확장을 찾으십시오.
드롭다운 메뉴에서 “장바구니”를 선택합니다. 브라우저의 원활한 작동을 위해 타사 플러그인이 반드시 필요한 것은 아닙니다.

Google 크롬 재설정

브라우저를 열고 창의 오른쪽 상단으로 이동하여 3줄 막대를 클릭합니다.
열리는 창 하단에서 “고급 설정 표시”를 선택하십시오.
방금 만든 창의 맨 아래로 스크롤하고 브라우저 설정 재설정을 선택합니다.
열리는 브라우저 설정 재설정 창에서 재설정 버튼을 클릭합니다.

3. 감염된 파일 삭제 또는 제거

트로이 목마는 다운로드한 파일이나 신뢰할 수 없는 소스에서 설치한 응용 프로그램 또는 확장 프로그램을 통해 유입되었습니다. 간단한 제거로 문제를 해결할 수 있는 것은 전적으로 가능하지만 맬웨어를 죽이는 것이 얼마나 어려운지를 고려할 때 그것은 사실과 거리가 멉니다.

Mac에서 LaunchPad 사용

Launchpad는 Dock에서 클릭하거나 응용 프로그램 폴더에서 열 수 있습니다.
엄지와 세 손가락으로 트랙패드를 오므릴 수도 있습니다.
응용 프로그램이 Launchpad에 문서화되어 있지 않으면 검색 표시줄에 해당 이름을 입력하십시오. 다음 또는 이전 페이지를 열려면 두 손가락으로 트랙패드를 오른쪽 또는 왼쪽으로 스와이프합니다.
Option 키를 누른 상태에서 흔들리기 시작할 때까지 앱을 길게 누릅니다.
제거하려는 앱 옆에 있는 제거 버튼을 클릭한 다음 제거를 클릭하여 확인합니다.
소프트웨어가 즉시 제거됩니다. 표시되지 않은 앱은 App Store에서 다운로드되지 않았거나 Mac에 필요한 앱입니다.
App Store에서 다운로드하지 않은 앱을 제거하려면 App Store 대신 Finder를 사용하십시오.

응용 프로그램을 제거하려면 Finder를 사용하십시오.

Finder에서 앱을 찾습니다. 응용 프로그램의 대부분은 Finder 창의 사이드바에서 응용 프로그램을 선택하여 액세스할 수 있는 응용 프로그램 폴더에 있습니다.
Spotlight를 사용하여 소프트웨어를 검색할 수도 있습니다. Command() 키를 누른 상태에서 Spotlight에서 두 번 클릭합니다.
앱을 선택하고 파일 > 휴지통으로 이동을 사용하여 휴지통으로 드래그합니다.
휴지통이 macOS Dock에 나타납니다.
사용자 이름과 암호가 필요한 경우 Mac에서 관리자 계정 이름과 암호를 사용하십시오. Mac에 로그인할 때 사용하는 사용자 이름과 암호일 가능성이 큽니다.
소프트웨어를 제거하려면 Finder > 휴지통 비우기로 이동합니다.

4. Time Machine 백업 다운로드

Mac에 트로이 목마가 있는지 파악한 다음 수동으로 제거하는 것은 어려운 작업이 될 수 있습니다. 감염된 파일을 설치하기 전에 Time Machine 백업을 간단히 복원하는 것이 더 쉬울 수 있습니다.

Time Machine 백업에서 Mac을 복원하려면 다음 단계를 따르십시오.
메뉴 모음에서 Time Machine 아이콘을 선택합니다.
“타임머신”옵션을 입력하십시오.
각각 다른 백업을 나타내는 Finder 윈도우 스택이 나타납니다.
복원할 항목을 선택한 후 “복원” 버튼을 클릭합니다.

5. 바이러스 백신 소프트웨어 사용

Mac이 맬웨어에 감염되었다고 의심될 때마다 바이러스 검사를 실행해야 합니다. 여기에는 트로이 목마에 감염된 것으로 의심되는 경우가 포함됩니다. 바이러스 백신 소프트웨어는 위험한 코드가 있는지 파일을 검사합니다.

브라우저 추가 기능을 찾습니다.

컴퓨터에서 브라우저 하이재커 및 광고 확장 프로그램을 검색하세요.

메뉴 막대에서 Safari > 기본 설정을 선택합니다. 기존 홈 페이지 URL을 확인하고 필요에 따라 변경합니다.
그런 다음 “확장 프로그램” 탭으로 이동하여 사용자를 염탐하고 개인 정보를 저장하고 악의적인 웹 사이트로 리디렉션할 수 있으므로 익숙하지 않은 모든 것을 제거하십시오.

장치에서 의심스러운 모든 앱을 제거하십시오.

익숙하지 않은 소프트웨어가 설치되어 있는지 확인하십시오.
이동 > 응용 프로그램을 선택하거나 Shift + Command + A를 눌러 Finder에서 응용 프로그램 폴더로 이동합니다.
목록을 스크롤하여 인식할 수 없는 모든 앱을 목록에서 제거합니다.
그런 다음 휴지통을 비웁니다.

의심스러운 모든 로그인 항목을 시스템에서 제거하십시오.

“Mac 맬웨어 제거” 목표의 일부로 이상하게 작동하는 모든 로그인 항목을 제거하십시오.
그들 중 일부는 익숙하지 않거나 켜는 것을 기억하지 못할 수 있습니다.
시작 시 특정 항목이 실행되지 않도록 하려면 다음 단계를 따르십시오. Apple 메뉴 > 시스템 환경설정 > 사용자 및 그룹 > 로그인 항목에서 옵션을 선택 취소하십시오.

Apple macOS에서 새 프로필을 만듭니다.

Mac 바이러스가 장치가 아닌 사용자를 대상으로 하는 경우 macOS에서 새 프로필을 생성하여 상황을 해결할 수 있습니다. 새 사용자 프로필을 만들려면 다음 단계를 따르세요.

Apple 메뉴에서 시스템 기본 설정 > 사용자 및 그룹으로 이동합니다.
변경하려면 페이지 잠금을 해제하십시오.
+ 버튼(관리자 또는 표준)을 클릭하여 추가하려는 사람의 유형을 선택합니다.
새 사용자 이름과 암호를 입력하고 “사용자 만들기”를 클릭하여 새 사용자를 만듭니다.

6. Mac 초기화

이것은 최후의 수단이지만 Mac에서 트로이 목마를 제거하는 데 도움이 되지 않는 경우 공장 초기화를 수행할 수도 있습니다. 이렇게 하면 Mac이 공장 설정으로 재설정되고 모든 데이터를 포함한 모든 항목이 삭제되므로 미리 백업하십시오. 시작하려면 복구 모드로 들어가야 합니다.

M1 Mac에서 복구 모드로 들어가는 방법은 다음과 같습니다.

Mac을 끕니다.

이제 몇 초 동안 전원 버튼을 길게 누릅니다.
시작 옵션 로드 중이 표시될 때까지 버튼을 누르고 있습니다.
Enter 키를 눌러 계속하십시오.
메시지가 표시되면 관리자 암호를 입력합니다.
이제 디스크 유틸리티로 이동하여 “지우기” 옵션을 찾아 Mac에서 모든 파일을 제거하십시오.

결론

Gmera는 Mac 사용자를 위한 진정한 유용한 거래 도구인 Stockfolio로 가장하는 위험한 컴퓨터 감염인 Kassi Trojan으로도 알려져 있습니다. “Gmera Trojan Mac”을 제거하고 맬웨어로부터 컴퓨터를 치료하려면 위의 모든 절차를 사용하십시오.

자주하는 질문

트로이 목마가 Mac에 영향을 미칠 수 있습니까?

Mac이 트로이 목마에 감염된 경우 이 프로그램은 다른 바이러스나 스파이웨어를 설치하는 것부터 해커에게 시스템에 대한 완전한 원격 제어를 제공하는 것까지 모든 작업을 수행할 수 있습니다. 트로이 목마는 당신과 당신의 컴퓨터 모두에게 끔찍한 소식입니다.

Mac에 트로이 목마 바이러스가 있는지 어떻게 알 수 있습니까?

Mac이 이상하게 작동하기 시작하고 예상하지 못한 작업을 수행합니다. 무언가가 모든 CPU 리소스를 사용하는 것처럼 Mac이 느리게 실행되기 시작합니다. PC에 광고가 나타나기 시작합니다.

맬웨어는 어떻게 숨길 수 있습니까?

맬웨어는 다형성, 암호화 및 프로세스 내 실행을 사용하여 APT(Advanced Persistent Threat)로 남을 수 있습니다. 다형성 코드가 재생될 때마다 변경됩니다. 각각의 새 장치에서 암호화/복호화 키를 변경함으로써 암호화는 이러한 활동을 숨기고 보기에 유지합니다.

트로이목마란? 바이러스 또는 맬웨어입니까?

트로이 목마는 실제 프로그램으로 위장하여 컴퓨터에 다운로드되는 악성코드의 일종이다. 공격자는 자신의 프로그램을 사용하여 시스템에 액세스하기 위해 사회 공학을 사용하여 악성 코드를 실제 응용 프로그램에 삽입하는 경우가 많습니다.

Posted on 6월 8, 20227월 11, 2023

News

admin

iMac