애플의 M1 칩에서 실행되도록 맞춤 설계된 최초의 멀웨어 샘플 중 하나가 발견되었다. 이는 악의적인 사용자가 애플 자체 프로세서로 구동되는 최신 맥기기를 표적으로 삼는 악성 소프트웨어를 제작하기 시작했음을 나타낸다고 더해커뉴스가 보도했다.
보안 연구원 패트릭 와들(Patrick Wardle)에 따르면, 애플 프로세서의 실리콘으로 전환으로 인해 개발자들은 더 나은 성능과 호환성을 보장하기 위해 앱을 새로운 버전으로 빌드해야 했고, 멀웨어 작성자들 역시 애플의 새로운 M1 시스템에서 실행할 수 있는 멀웨어를 빌드하기 위해 유사한 단계를 수행하고 있다.
와들은 원래 인텔 x86 칩에서 실행되도록 작성되었지만 이후 ARM 기반 M1 칩에서 실행되도록 이식된 GoSearch22라는 사파리 애드웨어 확장 프로그램을 자세히 설명했다. 12월 27일 바이러스 토탈에 업로드된 샘플에 따르면 Pirrit 광고 악성 코드의 변종인 악성 확장 프로그램은 2020년 11월 23일에 처음으로 발견되었다.
와들은 14일 발표된 글에서 "오늘 우리는 악의적인 공격자들이 실제로 멀티 아키텍처 애플리케이션을 제작하고 있다는 사실을 확인했다. 따라서 그들의 코드는 M1 시스템에서 기본적으로 실행될 것이다. 악의적인 GoSearch22 애플리케이션은 기본적으로 M1 호환 코드의 첫 번째 예일 수 있다."
M1 맥은 Rosetta라는 동적 바이너리 변환기의 도움으로 x86 소프트웨어를 실행할 수 있지만, 기본 지원의 이점은 효율성 향상뿐만 아니라 원하지 않는 관심을 끌지 않고 악성 프로그램이 레이더 아래 머무를 가능성이 높아진다는 것이다.
2016년에 처음 문서화된 Pirrit는 클릭 시 정보 수집 기능이 포함된 원치 않는 앱을 다운로드하고 설치하는 광고를 사용자에게 푸쉬하는 것으로 악명 높은 영구 맥 애드웨어 제품군이다.
심하게 난독화된 GoSearch22 애드웨어는 실제로 브라우징 데이터를 수집하고 추가 멀웨어를 배포하기 위해 모호한 웹 사이트로 연결되는 일부를 포함하면서, 배너 및 팝업 같은 많은 수의 광고를 제공하는 합법적인 사파리 브라우저 확장 프로그램으로 위장한다.
와들은 이 확장 프로그램이 11월에 애플 개발자 ID "hongsheng_yan"으로 서명되어 악성 콘텐츠를 더 은폐했지만 이후 해지되었다. 즉 공격자가 다른 인증서로 다시 서명하지 않는 한 응용 프로그램이 더 이상은 macOS에서 실행되지 않는다는 것을 의미한다.
개발 과정에서 멀웨어가 두 하드웨어 변경에 직접 반응하여 어떻게 계속 진화하는지가 강조되고 있지만 와들은 "(정적) 분석 도구 또는 바이러스 백신 엔진이 arm64 바이너리에서 어려움을 겪을 수 있다"고 경고했으며, 보안 소프트웨어의 탐지율을 인텔 x86)64와 비교했을 때 15% 감소했다.
GoSearch22의 멀웨어 기능은 완전히 새롭거나 위험하지 않을 수 있지만, 그것이 요점이 아니다. 새로운 M1 호환 멀웨어의 출현은 이것이 시작일 뿐이며 앞으로 더 많은 변종이 나타날 가능성이 높다.
◈2021 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최
K-CTI 2021, 국내 최고 권위의 정보보안 인텔리전스 정보 공유의 장
-날짜: 2021년 3월 9일(화) / 온라인 개최
-참석대상: 공공·기업 보안실무자 및 보안 분야 관계자
-교육이수: 보안교육 7시간 이수 가능(CISO/CPO/CISSP 등도 가능)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
