Atomic macOS Stealer 맬웨어
사이버보안 연구원들은 ClickFix라는 사기성 소셜 엔지니어링 전술을 활용해 Apple macOS 시스템을 손상시키도록 설계된 정보 유출 맬웨어인 Atomic macOS Stealer(AMOS)를 배포하는 새로운 맬웨어 캠페인을 발견했습니다.
목차
타이포스쿼트 전술: 스펙트럼 사칭
이 캠페인의 배후에 있는 공격자들은 미국 통신사 Spectrum을 모방한 타이포스쿼트 도메인을 사용하고, panel-spectrum.net 및 spectrum-ticket.net과 같은 사기성 웹사이트를 통해 의심하지 않는 사용자를 유인합니다. 이러한 유사 도메인은 합법적인 것처럼 보이도록 제작되어 사용자의 신뢰와 상호작용 가능성을 높입니다.
악성 셸 스크립트: 숨겨진 페이로드
이러한 스푸핑된 사이트를 방문하는 모든 macOS 사용자에게 악성 셸 스크립트가 제공됩니다. 이 스크립트는 피해자에게 시스템 비밀번호를 입력하도록 유도하고, 사용자 인증 정보를 훔치고, macOS 보안 제어를 우회하고, 추가 악용을 위해 AMOS 악성코드 변종을 설치합니다. 스크립트의 효과를 극대화하기 위해 macOS 기본 명령어가 사용되지만, 은밀하게 실행됩니다.
원산지 흔적: 러시아어 코드 주석
이 캠페인의 배후에는 러시아어를 구사하는 사이버 범죄자들이 있을 가능성이 있다는 증거가 있습니다. 연구원들은 악성코드 소스 코드에 러시아어 주석이 삽입되어 있는 것을 발견했는데, 이는 위협 행위자들의 지리적 및 언어적 기원을 시사합니다.
기만적인 CAPTCHA: ClickFix 미끼
공격은 사용자의 연결 보안을 확인한다고 주장하는 가짜 hCaptcha 인증 메시지로 시작됩니다. '저는 사람입니다' 체크박스를 클릭하면 사용자에게 'CAPTCHA 인증에 실패했습니다'라는 가짜 오류 메시지가 표시됩니다. 그런 다음 "대체 인증"을 진행하라는 메시지가 표시됩니다.
이 작업은 악성 명령을 클립보드에 복사하고 사용자 운영 체제에 따른 지침을 표시합니다. macOS에서는 피해자가 터미널 앱에 명령을 붙여넣고 실행하여 AMOS 다운로드를 시작하도록 안내합니다.
부주의한 실행: 코드의 단서
캠페인의 위험한 의도에도 불구하고, 연구원들은 공격 인프라의 불일치를 발견했습니다. 전달 페이지에서 다음과 같은 논리 오류와 프로그래밍 오류가 발견되었습니다.
- Linux 사용자를 위해 PowerShell 명령이 복사되고 있습니다.
- Windows 및 Mac 사용자 모두에게 표시되는 Windows 관련 지침입니다.
- 표시된 OS와 지침 간의 프런트엔드 불일치.
ClickFix의 부상: 확대되는 위협 벡터
이러한 발전은 지난 한 해 동안 여러 악성 코드 캠페인에서 ClickFix 전술이 사용되는 추세의 일환입니다. 위협 행위자들은 초기 접근을 위해 지속적으로 유사한 기법, 도구 및 절차(TTP)를 사용하며, 가장 일반적으로 사용되는 방식은 다음과 같습니다.
- 스피어 피싱
- 드라이브바이 다운로드
- GitHub와 같은 신뢰할 수 있는 플랫폼을 통해 공유된 악성 링크
가짜 해결책, 진짜 피해: 최악의 사회 공학
피해자들은 무해한 기술 문제를 해결하고 있다고 속아넘어갑니다. 하지만 실제로는 악성코드를 설치하는 유해한 명령을 실행하고 있는 것입니다. 이러한 형태의 사회 공학은 사용자 인식 및 표준 보안 메커니즘을 우회하는 데 매우 효과적입니다.
증가하는 영향: 전 세계 확산 및 다양한 탑재량
ClickFix 캠페인은 미국, 유럽, 중동 및 아프리카(EMEA) 지역의 고객 환경에서 탐지되었습니다. 이러한 공격은 점점 더 다양해지고 있으며, AMOS와 같은 스틸러뿐만 아니라 트로이 목마와 랜섬웨어까지 유포하고 있습니다. 페이로드는 다를 수 있지만, 핵심 수법은 변함없이 사용자 행동을 조작하여 보안을 침해하는 것입니다.
결론: 경계가 필요합니다
이 캠페인은 지속적인 경계, 사용자 교육, 그리고 강력한 보안 관리의 중요성을 강조합니다. ClickFix와 같은 소셜 엔지니어링 전술이 진화함에 따라, 조직과 개인 모두 이러한 사기성 위협을 인지하고 차단할 수 있도록 정보를 지속적으로 수집하고 준비해야 합니다.
