자바 별도 설치한 업체 대상 공격...애플 개발자의 서명도 사용

[보안뉴스 김영명 기자] 애플 맥 OS(Mac OS)를 공격하는 ‘X로더(XLoader)’ 악성코드가 생산성 애플리케이션인 오피스노트(OfficeNote)로 위장해 유포되는 정황이 발견됐다.


잉카인터넷에 따르면, 미국의 사이버 보안 기업 센티넬원(Sentinelone)은 ‘X로더’를 인포스틸러이자 붓넷이라고 소개하며, 2021년에 Java로 작성된 맥 OS용 샘플을 발견했다고 밝혔다. 발견 당시 맥 OS가 2009년에 출시된 맥 OS X 스노 레퍼드(Mac OS X Snow Leopard) 버전 이후로 자바 실행 환경(Java Runtime Environment, JRE)을 기본 제공하지 않아 자바를 별도 설치한 업체를 대상으로 공격한다고 덧붙였다.

센티넬원은 이번에 새로 발견한 샘플은 C 언어 및 Object C 언어로 작성돼 기존의 종속성에는 문제가 없다고 전했으며, ‘Oficenote.dmg’라는 파일명으로 유포되며 애플 개발자의 서명을 사용한다고 덧붙였다.

센티넬원의 분석에 따르면, X로더를 실행할 경우 사용자의 화면에 프로그램을 실행할 수 없다는 오류 메시지를 띄운다. 반면, 시스템 내부에서는 분석 도구의 연결을 회피하고 파이어폭스(Firefox) 및 구글 크롬(Chrome) 브라우저의 login.json 파일 정보를 탈취하는 등의 공격을 수행한다.

잉카인터넷 측은 “센티널원에 따르면, 애플은 악성코드가 사용된 서명을 삭제했으며, 유출된 데이터로 추가 피해가 발생할 수 있기 때문에 보안 솔루션을 사용할 것을 권고했다”고 전했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>