Moonlock의 보안 연구원들은 주목할 만한 macOS 스플린터 샘플을 분석하는 과정에서 놀라운 수준의 정교함을 갖춘 악성코드를 발견했습니다. 이 멀웨어는 아직 출시되지 않은 비디오 게임 GTA 6로 위장하여 설치되면 사용자의 로컬 키 체인에서 암호와 같은 민감한 정보를 추출하는 다소 영리한 기술을 실행합니다.
전형적인 Security Bite 방식에 따라 작동 방식과 안전을 유지하는 방법에 대해 자세히 설명합니다.
9to5Mac 보안 바이트는 유일한 Apple 통합 플랫폼인 Mosyle에서 독점적으로 제공합니다. Apple 기기를 업무에 적합하고 기업용으로 안전하게 만드는 것이 저희의 전부입니다. 관리 및 보안에 대한 당사의 고유한 통합 접근 방식은 완전 자동화된 강화 및 규정 준수, 차세대 EDR, AI 기반 제로 트러스트 및 독점 권한 관리를 위한 최첨단 Apple 전용 보안 솔루션과 시장에서 가장 강력하고 현대적인 Apple MDM을 결합합니다. 그 결과, 현재 45,000개 이상의 조직에서 합리적인 비용으로 수백만 대의 Apple 기기를 업무에 사용할 수 있도록 지원하는 완전 자동화된 Apple 통합 플랫폼으로 신뢰받고 있습니다. 지금 바로 연장 평가판을 요청하고 왜 Mosyle이 Apple과 함께 일하는 데 필요한 모든 것을 제공하는지 알아보세요.
이전 Security Bite에서 보고했듯이, Mac의 인기가 높아짐에 따라 macOS를 타깃으로 특별히 제작된 멀웨어가 계속해서 인기를 얻고 있습니다. 작년에는 2022년에 비해 50% 증가한 21개의 새로운 멀웨어 패밀리가 발견되었습니다.
이러한 사실에도 불구하고 여전히 위협 공격자들은 애플 컴퓨터를 표적으로 삼지 않는다는 오해가 존재합니다. 과거에는 이것이 사실이었을지 모르지만 오늘날에는 확실히 그렇지 않습니다. 멀웨어 공격의 수가 증가하고 있을 뿐만 아니라 그 어느 때보다 더 정교해지고 있습니다.
작동 방식
MacPaw의 사이버 보안 부서인 Moonlock은 새로운 멀웨어 샘플이 감염된 컴퓨터에서 로그인과 비밀번호를 수집하여 원격 연결이나 이메일을 통해 위협 행위자에게 다시 전송하도록 설계된 트로이 목마 멀웨어의 일종인 비밀번호 탈취 멀웨어(PSW)의 변종이라는 사실을 발견했습니다.
이 멀웨어는 GTA 6 또는 노션의 해적판으로 추정되는 버전으로 위장합니다. 이는 익숙한 명칭을 사용하여 사용자를 속여 멀웨어를 다운로드하도록 유도함으로써 신뢰를 악용하는 일반적인 사회 공학 수법입니다.
특히 모든 Mac에는 백그라운드에서 작동하여 사용자가 인터넷에서 멀웨어를 포함할 수 있는 서명되지 않은 애플리케이션을 다운로드하지 못하도록 방지하는 macOS Gatekeeper 버전이 설치되어 있습니다. 그러나 사용자는 DMG 파일을 마우스 오른쪽 버튼으로 클릭하고 "열기"를 누르면 이 보안 기능을 무시할 수 있습니다. 사이버 범죄자들은 사용자에게 악성 파일을 여는 방법을 알려주는 그래픽을 포함시켜 이 점을 악용합니다.
실행 시 DMG는 AppleApp이라는 이름의 Mach-O 파일을 실행합니다.
"그 후, AppleApp은 러시아 IP 주소에서 시작된 특정 URL에 대한 GET 요청을 시작합니다. 연결이 성공하면 프로그램은 부분적으로 난독화된 AppleScript 및 Bash 페이로드를 다운로드하기 시작합니다. 이 페이로드는 파일 시스템을 우회하여 애플리케이션 메모리에서 직접 실행됩니다."라고 Moonlock은 블로그 게시물에서 이번 연구 결과에 대해 설명했습니다.
실행되면 페이로드는 악의적인 목적을 달성하기 위해 다각적인 접근 방식을 사용합니다. 이 순서대로:
-자격 증명 피싱
-민감한 데이터 표적화
-시스템 프로파일링
-데이터 유출
로컬 키체인 데이터베이스는 사용자의 시스템 비밀번호로만 액세스할 수 있기 때문에, 이 멀웨어는 두 번째 영리한 기술을 수행합니다. 가짜 도우미 앱 설치 창을 배포하여 신뢰를 더욱 악용하고 사용자가 비밀번호를 공개하도록 속입니다.
이제 멀웨어는 키체인 데이터베이스와 기타 여러 민감한 데이터 소스를 표적으로 삼기 시작합니다.
"이 멀웨어는 시스템 디렉토리를 정밀하게 탐색하여 Chrome, Firefox, Brave, Edge, Opera, OperaGX 등 인기 있는 웹 브라우저에서 쿠키, 양식 기록, 로그인 자격 증명과 같은 중요한 데이터를 찾습니다. 또한 FileZilla, macOS 키체인 데이터베이스, 암호화폐 지갑에서 최근 서버 목록을 찾습니다."
또한 이 멀웨어는 더 정교한 AppleScripts를 사용하여 사용자의 홈 디렉터리 내에 비밀 폴더를 설정합니다. 여기에 수집된 모든 로그인, 비밀번호, 키가 저장되어 감염된 시스템에서 사이버 범죄자가 제어하는 외부 서버로 추출될 때까지 기다립니다.
MacOS 도둑으로부터 안전하게 보호하는 방법
전체 멀웨어의 약 6%만이 Mac 사용자를 표적으로 삼지만, 위협 행위자들은 그 어느 때보다 적극적으로 macOS를 노리고 있습니다. 따라서 경계를 늦추지 말고 일반적인 인터넷 보안 수칙을 계속 사용하는 것이 중요합니다.
이러한 팁 중 많은 부분을 이미 알고 계실 수도 있지만, macOS 도용자와 관련하여 다시 한 번 말씀드리는 것이 중요하다고 생각합니다:
공식 Mac App Store 이외의 앱을 설치하기 전에 꼼꼼히 살펴보세요.
어떤 상황에서도 사용자는 게이트키퍼를 우회하는 지침을 따라서는 안 됩니다.
시스템 프롬프트나 민감한 정보 요청에 주의를 기울입니다.
최신 위협과 취약성으로부터 보호하기 위해 장치와 애플리케이션을 최신 상태로 유지합니다.
(IP보기클릭)211.226.***.***
5도 아니고 출시도 안 한 6에 낚이다니 대단하네요
(IP보기클릭)39.7.***.***
GTA6는 한번 유출된 적이 있어서 혹시나하고 걸릴만 하긴합니다. 애초에 하면 안 되는 거지만 걸리는 넘들이 그걸 알리가 없죠.
(IP보기클릭)118.235.***.***
의도된 거죠. 그만큼 빡대가리인 사람들을 타겟으로 삼았다는거임. 또한 불법자료를 다운로드 받는 사람들인 만큼 해커들도 양심의 가책없이 털수? 있겠죠.
(IP보기클릭)211.226.***.***
5도 아니고 출시도 안 한 6에 낚이다니 대단하네요
(IP보기클릭)39.7.***.***
Blenheim Apricot
GTA6는 한번 유출된 적이 있어서 혹시나하고 걸릴만 하긴합니다. 애초에 하면 안 되는 거지만 걸리는 넘들이 그걸 알리가 없죠. | 24.04.01 12:58 | | |
(IP보기클릭)118.235.***.***
Blenheim Apricot
의도된 거죠. 그만큼 빡대가리인 사람들을 타겟으로 삼았다는거임. 또한 불법자료를 다운로드 받는 사람들인 만큼 해커들도 양심의 가책없이 털수? 있겠죠. | 24.04.01 15:21 | | |
(IP보기클릭)119.197.***.***