애플 기기용 관리 솔루션을 제공하는 Jamf의 위협 연구소 연구원들이 불법 복제 애플리케이션이 애플 맥OS 사용자에게 백도어를 배포하는 데 이용되고 있다고 경고했다.

연구원들은 이 애플리케이션이 ZuRu 멀웨어와 유사하게 보이며 운영자가 여러 개의 페이로드를 다운로드하고 실행하여 백그라운드에서 시스템을 손상시킬 수 있다는 사실을 발견했습니다. Jamf 연구소가 발견한 불법 복제 애플리케이션은 중국 불법 복제 웹사이트에서 호스팅된 것으로 확인됐다.

조사 과정에서 연구원들은 .fseventsd라는 이름의 실행 파일을 발견했다. 이 파일은 운영 체제에 내장된 프로세스 이름을 사용하여 탐지를 피하려고 시도하며, 애플이 서명하지 않았지만 연구 당시 VirusTotal의 어떤 안티바이러스에도 탐지되지 않았다.

Jamf 연구원들은 VirusTotal을 사용하여 .fseventsd 바이너리가 처음에 더 큰 DMG 파일의 일부로 업로드되었다는 사실을 발견했다. VirusTotal에 대한 추가 조사를 통해 동일한 멀웨어가 포함된 3개의 해적판 애플리케이션도 찾았다.

연구원들은 중국 웹사이트 macyy.cn에서 호스팅되는 많은 불법 복제 애플리케이션을 발견했으며 VirusTotal에 보고되지 않은 유사한 패턴을 따르는 트로이 목마화된 DMG 파일을 두 개 더 확인했다. 멀웨어가 심어진 DMG 파일에는 Navicat Premium, UltraEdit, FinalShell, SecureCRT, Microsoft 원격 데스크톱과 같은 합법적인 소프트웨어가 포함되어 있었다.

Jamf 연구원은 “각 애플리케이션 번들에는 추가 로드 명령으로 Mach-O 실행 파일이 수정되었다. 악성 dylib 파일을 통해 멀웨어를 끌어들이는 이 기법은 맥OS 멀웨어에 있어서는 상당히 진보된 기법으로 간주되지만 애플리케이션 서명을 손상시키는 결과를 초래한다. 그 결과 앱은 서명되지 않은 애플리케이션으로 온라인에 배포되는데 불법 복제 애플리케이션을 다운로드하는 많은 사용자는 이 사실을 신경 쓰지 않을 것이다"라고 말했다.

FinalShell.dmg 애플리케이션을 실행하면 dylib 라이브러리는 원격 서버에서 백도어 bd.log와 다운로더 fl01.log를 로드한다. bd.log 백도어는 /tmp/.test 경로에 기록되며 이 실행 파일은 임시 디렉터리에 숨어 있다가 멀웨어가 저장되면 시스템이 종료될 때 백도어를 삭제한다. 백도어는 불법 복제된 애플리케이션이 로드되고 드로퍼가 실행될 때마다 이 경로에 작성된다.

Jamf는 /Users/Shared/.fseventsd 디렉터리에서 발견된 실행 파일이 영구 다운로더 역할을 하여 공격자의 서버에서 검색된 임의의 페이로드를 실행할 수 있다고 분석했다. 이 멀웨어는 지속성을 유지하기 위해 LaunchAgent를 생성하고 공격자의 서버로 HTTP GET 요청을 보낸다.

연구원들은 이 멀웨어와 최소 2021년부터 활동한 ZuRu 멀웨어 사이에 많은 유사점을 발견했다. 두 멀웨어 모두 주로 중국의 피해자를 표적으로 삼는다. ZuRu 멀웨어는 원래 불법 복제 애플리케이션인 iTerm, SecureCRT, Navicat Premium 및 Microsoft 원격 데스크톱 클라이언트에서 발견되었다. 감염된 애플리케이션을 열면 사용자에게 정상적으로 작동하는 앱이 표시되지만 추가된 dylib 파일에 포함된 로직이 백그라운드에서 파이썬 스크립트를 실행하여 민감한 파일을 가져와 공격자 서버에 업로드한다.

Jamf 위협 연구소는 “이 멀웨어는 표적이 되는 애플리케이션, 수정된 로드 명령, 공격자 인프라를 고려할 때 ZuRu 멀웨어의 후속 버전일 가능성이 있다”고 결론 내렸다.

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

석주원 기자 다른기사 보기