애플 컴퓨터 운영체계인 맥OS에서 파일이나 드라이브는 건드리지 않은 채 메모리 안에 숨어 활동하는 이른바 ‘파일리스(fileless)’ 악성 소프트웨어가 발견됐다. ‘UnionCryptoTrader.dmg'라는 암호화폐 거래 소프트웨어로 위장한 이 멀웨어는 북한이 배후에 있는 것으로 알려진 해커 단체 라자루스(Lazarus) APT가 개발한 것으로 추정되고 있다.

해당 멀웨어는 실행 파일을 부팅 과정에 심어 사용자가 알아채지 못하게 맥OS를 감염시킨다. 이후 실행 파일은 온라인상에서 다양한 페이로드(payload)를 가져와 메모리 내에서 실행시키기 때문에 재부팅을 하거나 OS를 업그레이드하는 등 변화가 있어도 바이러스를 잡아내는 백신 소프트웨어가 멀웨어를 감지하지 못한다. 페이로드가 점차 변하는 것을 백신 소프트웨어에서 발견할 확률은 거의 없고, 결국 해당 멀웨어는 감염된 기기에서 루트 권한을 얻게 된다.

라자루스 APT 그룹이 진행한 애플제우스(AppleJeus)라는 방식을 택한 이 멀웨어는 윈도우와 맥OS에서 암호화폐 거래 앱으로 위장하는 파일리스 트로이목마 계열의 악성 소프트웨어다.

해커들은 ‘스마트 암호화폐 차익거래 플랫폼’을 표방한 ‘JMTTrading’이라는 그럴듯한 이름의 암호화폐 거래 웹사이트를 만들었다. 해당 웹사이트는 지금도 열려는 있지만 멀웨어 페이로드의 추가 배포는 중단한 상태다.

시스템 보안전문가 패트릭 워들은 보안 사이트 오브젝티브 씨(Objective-See)에서 “현재 이 멀웨어는 라자루스 그룹이 트로이목마를 심은 거래 앱을 암호화폐 거래소 직원들에게 배포하는, 그들 특유의 공격 벡터를 사용하고 있는 것으로 볼 수 있다”고 말했다.

바이러스 탐지 서비스를 제공하는 바이러스토탈(VirusTotal)에 따르면 맥OS 기반 바이러스 백신 앱 72개 가운데 이 멀웨어를 잡아낸 소프트웨어는 19개에 불과했다.

미국 재무부는 지난 9월 멀웨어를 이용해 암호화폐를 탈취하려 한 북한과 연루된 해킹 조직 세 곳을 제재했다. 재무부의 테러·금융정보 담당인 맨델커 차관은 당시 “재무부는 불법 무기 및 미사일 프로그램을 지원하기 위해 사이버 공격을 자행한 북한 정권과 연루된 해커 단체들을 제재한다”며 “앞으로도 미국과 UN 차원에서 대북 제재를 계속 유지하고, 금융 네트워크의 사이버 안보 증진을 위해 국제사회와 공조할 것”이라고 말했다.

댄 구딘 기자는 문제의 멀웨어가 컴퓨터를 감염시키기 전에 여러 차례 비밀번호를 입력하도록 요구한다고 설명했다. 그래서 정품이 아닌 복제품이나 짝퉁 암호화폐 소프트웨어 이용자들이 주로 피해를 본다고 구딘 기자는 덧붙였다.

번역: 뉴스페퍼민트

• URL복사
• 텔레그램
• 페이스북
• 카카오톡
• 트위터

제보, 보도자료는 contact@coindeskkorea.com