테크레시피

“파이널컷프로 해적판 속에?” 암호화폐 무단 채굴하는 맥용 멀웨어

사이버 보안 기업 JAMF(Jamf Threat Labs)가 맥OS용 영상 편집 소프트웨어인 파이널컷프로(Final Cut Pro) 해적판에 무단으로 암호화폐를 채굴하는 멀웨어가 포함됐다고 보고했다. 이번에 발견된 멀웨어는 영리한 검출 회피 시스템을 갖추고 있어 대부분 보안 소프트웨어에선 검출되지 않았다고 한다.

크립토 재킹(Crypto Jacking) 멀웨어는 감염된 컴퓨팅 리소스를 무단 활용하고 사용자가 알지 못하는 사이 암호화폐를 채굴하는 멀웨어다. 암호화폐 채굴에는 상당한 처리 능력이 필요하기 때문에 애플이 개발하는 맥용 칩이 지속적으로 진보되면서 맥OS 기기는 크립토 재킹 악성코드 표적으로 매력적일 수 있다.

연구팀은 암호화폐 채굴 도구인 XM리그(XMRig)를 이용하는 크립토 재킹 멀웨어를 감지했다. 원래 XM리그는 합법적인 암호화폐 채굴 도구로 공개됐지만 적응력이 높고 오픈소스이기 때문에 악의적 액터에게도 널리 사용된다.

이번에 검출한 크립토 재킹 멀웨어는 맥OS용 영상 편집 소프트웨어인 파이널컷프로 해적판에 담겨 있었다고 한다. 악성코드를 탑재한 해적판을 올린 사용자는 2019년부터 포토샵이나 로직프로를 포함한 맥OS용 해적판 소프트웨어를 올렸고 모두 암호화폐 채굴용 악성코드가 포함되어 있었다고 한다.

연구팀은 분석을 통해 해적판 파이널컷프로에 탑재된 크립토 재킹 멀웨어는 3세대에 걸친 주요 개발 단계를 거쳐 진화한 것으로 나타났다. 2019년 등장한 1세대에선 악성코드 C&C 통신을 익명화해 검출을 회피했고 2021년 4월부터 등장한 2세대에선 앱 번들에 실행 파일을 숨기고 있었다고 한다.

2021년 10월 등장하 3세대에선 악의적 프로세스를 맥OS 데스크톱 검색 기능인 스팟라이트 시스템 프로세스로 위장하는 기능과 3초마다 맥OS 성능 감시 툴인 액티비티 모니터가 실행 중인지 여부를 확인하고 활동 모니터가 발견되면 곧바로 악성 프로세스를 종료하는 기능도 탑재하고 있다. 이런 조합으로 인해 사용자는 장치 작동 속도가 느린 걸 의심스럽게 생각해도 활동 모니터에선 멀웨어를 찾을 수 없다. 또 2022년 10월 출시된 맥OS 벤추라에선 엄격한 코드 서명 체크가 도입되어 해적판 파이널컷프로 변경을 감지해 애플리케이션을 차단할 수 있지만 차단 시점 이미 악성코드는 설치되고 있다는 것. 보도에선 결론적으로 해적판 소프트웨어는 대부분 악성코드와 애드웨어에 감염되어 P2P 네트워크에서 해적판 소프트웨어를 다운로드하지 않는 게 좋다고 조언하고 있다. 한편 애플은 이런 악성코드르 차단하기 위해 엑스프로텍트(XProtect) 업데이트를 계속하고 있다며 맥앱스토어는 맥용 소프트웨어를 얻을 수 있는 가장 안전한 장소라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사