Jamf Threat Labs는 macOS 사용자를 표적으로 삼는 infostealer 악성 코드에 대한 새로운 보고서를 발표했다. 보고서에는 두 가지 악성 코드 공격이 자세히 설명되어 있다. 첫 번째는 Atomic Stealer 악성코드의 새로운 구현이고, 두 번째는 온라인 통신 도구에 대한 공격이다. 두 공격 모두 계정 사용자 이름, 비밀번호 등 사용자의 민감한 정보와 암호화폐 지갑의 데이터를 훔친다.

 

2024년 4월 1일 오전 11시(태평양 표준시) 업데이트: Jamf는 App Store의 Meethub 앱에 대한 문의에 다음과 같이 응답했다. “현재 Google Play 및 Apple App Store의 Meethub 앱이 악성이라고 믿을 이유가 없습니다. ” 이 글의 Meethub 섹션이 업데이트되었다.

 

Atomic Stealer 및 Arc 브라우저 후원 광고

Atomic Stealer는 약 1년 전 처음 보고되었으며, 사용자가 앱을 다운로드할 때 서명되지 않은 디스크 이미지 파일(.dmg)을 통해 배포되었다. Jamf Threat Labs는 이제 Atomic Stealer가 "Arc Browser"를 검색할 때 Google에서 스폰서 링크를 통해 배포되고 있다고 보고했다. Arc Browser는 웹사이트가 arc.net에 있는 The Browser Company의 합법적인 무료 브라우저이다.

 

그러나 Google 사용자가 볼 수 있는 스폰서 광고는 사용자를 Arc Browser의 실제 웹사이트 대신 aricl 또는 airci 닷넷으로 연결한다. 사용자가 브라우저 설치 프로그램이라고 생각하는 것을 다운로드하려고 하면 아이콘을 Ctrl 키를 누른 채 클릭하고 열기를 선택하여 설치 프로그램을 실행하라는 지시를 받는다. 이는 일반적으로 가능한 악성 소프트웨어 및 인스턴스에 대한 경고를 제공하는 Gatekeeper를 우회하는 macOS의 방법이다. 서명되지 않은 설치 프로그램의 경우 설치가 중지된다.

 

Atomic Stealer가 설치된 후 사용자가 Arc 브라우저라고 생각하는 앱을 실행하려면 시스템 설정을 업데이트해야 한다는 메시지가 나타난다. 사용자에게 계정 비밀번호를 입력하라는 메시지가 표시되며, 이를 통해 악성코드는 공격자의 서버로 전송되는 키체인 데이터에 접근할 수 있다.

 

이 글을 쓰는 시점에서는 해당 악성 웹사이트가 호스팅 서비스에 신고되어 삭제된 것으로 보인다. aricl 또는 airci 닷넷으로 이동하면 웹 호스팅 서비스에서 제공하는 서버 관리 도구인 FastPanel 로고가 있는 웹페이지가 나타난다. Google이 악성 광고 배포를 중단했는지 여부는 알려지지 않았다.

 

Meethub 악성코드

Jamf Threat Labs는 또한 Meethub dot gg의 온라인 회의 소프트웨어와 관련된 공격에 대해 보고하고 있다. 공격자는 대상에게 접근하여 사용자가 다운로드하는 Meethub 사용을 요청한다. Atomic Stealer Arc 다운로드와 마찬가지로 사용자는 Control 키를 누른 채 클릭 > 열기를 사용하여 소프트웨어를 설치하고 Gatekeeper를 우회하라는 지시를 받는다.

 

설치 후 사용자에게 계정 비밀번호를 입력하라는 메시지가 표시되며, 이를 통해 악성코드는 키체인 및 암호화폐 지갑 데이터에 액세스할 수 있다. 그런 다음 데이터는 공격자의 서버로 전송된다.

 

Meethub에 대한 Jamf의 보고서에는 웹에서 다운로드한 소프트웨어가 포함되어 있지만 iPhone 및 M 시리즈 Mac에서 실행되는 App Store의 Meethub 앱이 있다(Meethub 앱은 Google Play 스토어에 있음). 이에 대한 맥월드의 질의에 잼프는 “현재 구글 플레이와 애플 앱스토어의 밋허브 앱이 악성이라고 믿을 이유가 없다”고 답했다.

 

새로운 Infostealer 공격을 피하는 방법

Apple의 Gatekeeper 기능은 사용자가 서명되지 않은 소프트웨어 설치 프로그램을 실행하는 것을 방지한다. 사용자가 설치 프로그램을 두 번 클릭하면 Gatekeeper는 Apple이 개발자에게 발급한 인증서를 확인한다. 인증서는 개발자가 누구인지, 개발자가 블랙리스트에 등록되어 있는지, 배포를 위해 개발자를 떠난 이후 소프트웨어가 변조되었는지 여부를 Apple에 알려준다. 사용자는 설치 프로그램을 Control-클릭하고 팝업 메뉴에서 열기를 선택하여 Gatekeeper 경고를 우회할 수 있다. 소프트웨어 개발자가 이 방법을 요구하는 경우 이는 위험 신호이다.

 

Apple은 OS 업데이트를 통해 보안 패치를 출시하므로 가능한 한 빨리 설치하는 것이 중요하다. 그리고 항상 그렇듯이 소프트웨어를 다운로드할 때는 App Store(소프트웨어의 보안 검사를 수행함)와 같은 신뢰할 수 있는 소스에서 다운로드하거나 개발자로부터 직접 다운로드하십시오. Macworld에는 바이러스 백신 소프트웨어가 필요한지 여부에 대한 가이드, Mac 바이러스, 맬웨어 및 트로이 목마 목록, Mac 보안 소프트웨어 비교 등 도움이 되는 여러 가이드가 있다.

 

 

*맥월드의 글을 번역,편집한 것입니다.