상세 컨텐츠

본문 제목

Apple M1칩용으로 설계된 첫 번째 악성코드, 실제 공격에서 발견돼

국내외 보안동향

by 알약4 2021. 2. 19. 14:41

본문

 

 

First Malware Designed for Apple M1 Chip Discovered in the Wild

 

애플의 M1 칩에서 실행되도록 커스텀 설계된 최초의 악성코드 샘플 한 개가 발견되었습니다. 이는 악성 공격자가 자체 프로세서를 사용하는 최신 Mac을 공격하기 위한 악성 소프트웨어를 채택하기 시작했음을 나타냅니다.

 

애플 실리콘(Apple Silicon)으로 전환됨에 따라, 개발자들은 더 나은 성능 및 호환성을 위해 새로운 버전의 앱을 빌드해야 합니다.

 

macOS 보안 연구원인 Patric Wardle은 공격자들이 악성코드가 애플의 새로운 M1 시스템에서 실행할 수 있는 악성코드를 빌드하기 위해 유사한 단계를 밟고 있다고 밝혔습니다.

 

Wardle은 처음에는 인텔 x86 칩에서 실행되도록 작성되었으나 후에 ARM 기반 M1 칩에서도 실행되도록 포팅된 사파리 애드웨어 확장 프로그램인 GoSearch22에 대해 자세히 설명했습니다.

 

1227VirusTotal에 업로드된 샘플에 따르면, Pirrit 광고 악성코드의 변종인 이 악성 확장 프로그램은 20201123일 실제 공격에서 처음 목격되었습니다.

 

“금일 우리는 공격자들이 멀티 아키텍쳐 애플리케이션을 제작하고 있다는 사실을 확인했습니다. 이들의 코드는 M1 시스템에서 실행될 것입니다.”

“악성 GoSearch22 애플리케이션은 이러한 네이티브 M1 호환 코드의 첫 번째 예가 될 것입니다.”

  

M1 Mac은 동적 바이너리 변환기인 Rosetta의 도움으로 x86 소프트웨어를 실행할 수 있지만 네이티브 서포트를 통해 효율성이 개선될 뿐만 아니라 사용자의 관심을 끌지 않고 감시망 아래에 숨어있을 수 있습니다.

 

 

<이미지 출처 : https://objective-see.com/blog/blog_0x62.html>

 

 

2016년 처음으로 문서화된 PirritMac 악성코드 패밀리로 공격적인 광고를 사용자에게 푸시하는 것으로 악명이 높으며, 광고를 클릭할 경우 정보 수집 기능이 포함된 원치 않는 앱을 다운로드 및 설치합니다.

 

높은 강도로 난독화된 GoSearch22 애드웨어는 자신을 정식 사파리 브라우저 확장 프로그램으로 위장합니다. 하지만 사실 이는 브라우징 데이터를 수집하고, 추가 악성코드를 배포하는 악성 사이트로 연결되는 링크를 포함한 배너 및 팝업과 같은 많은 광고를 노출시킵니다.

 

Wardle은 해당 확장 프로그램이 악성 콘텐츠를 숨기기 위해 지난 11월 애플 개발자 ID "hongsheng_yan"으로 서명했지만, 해당 인증서는 현재 폐기된 상태이기 때문이 해당 애플리케이션은 또 다른 인증서로 다시 서명하지 않는 이상 macOS에서 실행되지 않을 것입니다.

 

Wardle“(정적) 분석 툴이나 안티바이러스 엔진은 arm64 바이너리를 다룰 때 어려움이 있을 것이다고 밝혔습니다. 업계 유명 보안 소프트웨어의 탐지율은 Intel x86_64 버전과 비교했을 때 15% 감소했습니다.

 

GoSearch22의 악성 기능은 완전히 새롭거나 위험하지 않을 수는 있지만, 이것이 요점은 아닙니다. 새로운 M1 호환 악성코드가 출현했다는 것은 이제 시작일 뿐이며, 앞으로 더 많은 변종이 나타날 가능성이 높습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Adware.OSX.Pirrit’으로 탐지 중입니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html

https://objective-see.com/blog/blog_0x62.html

관련글 더보기

댓글 영역