MacOS를 공격하는 “XLoader” 악성코드가 생산성 앱인 OfficeNote로 위장해 유포되는 정황이 발견됐다.
보안 업체 SentinelOne은 “XLoader”를 인포스틸러이자 봇넷이라고 소개하며 2021년에 Java로 작성된 MacOS용 샘플을 발견했다고 언급했다. 발견 당시 MacOS가 2009년에 출시된 Mac OS X Snow Leopard 버전 이후로 자바 실행 환경(JRE)을 기본 제공하지 않아 Java를 별도 설치한 업체를 대상으로 공격한다고 덧붙였다. 한편, 새로 발견한 샘플은 C 및 Object-C 언어로 작성돼 기존의 종속성 문제가 없다고 전했다. 또한, OfficeNote.dmg라는 파일명으로 유포되며 Apple 개발자의 서명을 사용한다고 설명했다.
다음으로 SentinelOne 측의 분석 정보에 따르면 “XLoader”를 실행할 경우 사용자의 화면에 프로그램을 실행할 수 없다는 오류 메시지를 띄운다. 반면 시스템 내부에서는 분석 도구의 연결을 회피하고 Firefox 및 Chrome 브라우저의 login.json 파일 정보를 탈취하는 등의 공격을 수행한다.
이에 대해 SentinelOne 측은 Apple에서 악성코드가 사용한 서명을 삭제했으며, 유출된 데이터로 추가 피해가 발생할 수 있어 보안 솔루션을 사용할 것을 권고했다.
사진 출처 : SentinelOne
출처
[1] SentinelOne (2023.08.21) – XLoader’s Latest Trick | New macOS Variant Disguised as Signed OfficeNote App
'최신 보안 동향' 카테고리의 다른 글
| 은행과 물류 산업을 노리는 Chaes 악성코드 변종 (0) | 2023.09.08 |
|---|---|
| 은행 계정을 탈취하는 MMRat 발견 (0) | 2023.08.31 |
| Zimbra 이메일 계정을 노리는 피싱 캠페인 (0) | 2023.08.25 |
| 보안 봇을 회피하는 Raccoon 스틸러 판매 정황 발견 (0) | 2023.08.17 |
| Microsoft 365 계정을 노리는 EvilProxy 피싱 캠페인 (0) | 2023.08.10 |