새로운 AdLoad 악성코드 변종이 애플의 야라 시그니처 기반 XProtect 내장 안티바이러스 기술을 Mac(맥)을 감염시키고 있다고 사이버 보안 기업 센티넬원(SentinelOne) 밝혔다.

AdLoad는 적어도 2017년 말부터 맥OS 플랫폼을 표적으로 하는 널리 퍼진 트로이목마로 알려져 있다. 애드웨어 및 잠재적으로 원하지 않는 애플리케이션(PUA)을 포함한 다양한 악성 페이로드를 배포하는 데 사용되었다.

센티넬원 연구원은 “이러한 대규모 지속 공격은 2020년 11월부터 시작되었으며 7월과 8월 초에 활동이 증가했다”고 밝히고 “맥이 감염되면 AdLoad는 MiTM(Man-in-The-Middle) 웹 프록시를 설치하고 검색 엔진 결과를 가로채며 금전적 이득을 위해 웹 페이지에 광고를 삽입하기도 한다”고 설명했다.

한편 연구원은 “이 공격을 모니터링하는 동안 상당수 애플 내장 바이러스 백신이 이 악성코드를 탐지하지 못했다”고 덧붙였다.

이어 그는 “잘 알려진 애드웨어 변종의 수백 가지 고유 샘플이 최소 10개월 동안 유포되었지만 여전히 애플의 내장 맬웨어 스캐너에 의해 탐지되지 않는다는 사실은 맥 장치에 엔드포인트 보안 제어를 추가해야 할 필요성이 있다는 것”이라고 전했다.

한편 이전에 XProtect를 우회하고 다른 악성 페이로드로 맥을 감염시킬 수 있었던 맥OS 악성코드 ‘Shlayer’는 애플 컴퓨터의 10% 이상을 공격한 바 있다.

Shlayer는 또한 최근 맥OS 제로데이를 악용해 애플의 파일 검역소, 게이트키퍼 및 공증 보안 검사를 우회하고 손상된 맥에서 2단계 악성 페이로드를 다운로드하기도 했다.

AdLoad와 Shlayer는 이제 애드웨어와 번들웨어만 보조 페이로드로 배포하지만 제작자는 언제든지 랜섬웨어나 와이퍼를 비롯한 더 위험한 멀웨어로 빠르게 전환할 수 있다는 점도 위협으로 다가 오고 있다.

★정보보안 대표 미디어 데일리시큐!★