라자루스 APT 그룹(Lazarus APT Group)으로 알려진 악명 높은 북한 해커들이 가짜 암호화폐 회사 뒤에 숨어 애플 맥을 겨냥하는 또 다른 멀웨어를 만들어냈다.

애플 맥의 보안 전문가이자 수석 보안 연구원인 잼 패트릭 워들(Jamf Patrick Wardle)은 지난 10월 12일에 게재한 블로그 포스팅을 통해 그 전날 멀웨어헌터팀(MHT)의 연구원들이 밝혀낸 이 맬웨어의 성격을 대략적으로 설명했다.

이전의 맥OS 암호화폐 멀웨어와 밀접한 관련 있어

MHT와 패트릭 워들은 경고 당시에 이 멀웨어가 VirusTotal의 어떠한 엔진에 의해서도 검출되지 않았으며, 해당 샘플은 라자루스 그룹이 만들어 2018년 여름에 Kaspersky Labs에서 발견해낸 맥 멀웨어의 변종과 밀접한 관련이 있는 것으로 보인다고 밝혔다.

이전의 변종에서처럼, 이 해커들은 공격의 매개체로 사용할 가짜 암호화폐 회사를 설립한 뒤  “JMT Trading”사라고 이름 붙였다. 이어서 오픈소스 암호화폐 거래 앱을 작성한 뒤 그 코드 안에 멀웨어를 숨겨 깃허브(GitHub)에 올렸다.

패트릭 워들은 이 앱의 설치 과정을 분석해 그 안에 숨겨진 의심스러운 패키지와 론칭 데몬을 파악하고, 이 해커들의 백도어 스크립트가 갖고 있는 악성 기능을 분석해냈다.

이 백도어는 원격지의 공격자에게 감염된 맥OS 시스템에 대한 완전한 명령 및 제어권을 제공하지만, 경고 받은 사용자는 오픈소스 보안 도구와 수작업에 의한 탐지 과정을 통해 이 멀웨어를 문제없이 탐지해낼 수 있다고 패트릭 워들은 말했다. 하지만 포스팅 당시에는 VirusTotal 엔진이 이를 탐지해내지 못했다는 점을 다시 한 번 경고했다.

그는 또한 이 멀웨어의 가장 유력한 표적은 일상적인 개인 투자자가 아니라 암호화폐 거래소 직원들이라고 보고 있다.