MacOS 파이썬 정보 탈취범
사이버 보안 전문가들은 정보 탈취 공격이 마이크로소프트 윈도우를 넘어 애플 macOS 생태계로 빠르게 확산되고 있다는 점에 대해 우려를 표명하고 있습니다. 공격자들은 파이썬과 같은 크로스 플랫폼 언어를 점점 더 많이 사용하고 있으며, 신뢰할 수 있는 서비스와 광고 플랫폼을 악용하여 악성 소프트웨어를 대규모로 배포함으로써 공격 범위를 크게 넓히고 있습니다.
목차
소셜 엔지니어링이 macOS 정보 탈취 캠페인을 부추긴다
2025년 후반부터 ClickFix를 비롯한 소셜 엔지니어링 기법을 이용한 여러 공격 캠페인이 macOS 사용자들을 대상으로 진행되었습니다. 이러한 공격은 Atomic macOS Stealer(AMOS), MacSync, DigitStealer 등 잘 알려진 macOS 정보 탈취 악성코드를 배포하는 악성 디스크 이미지(DMG) 설치 파일을 유포합니다. 공격 방식은 주로 사용자가 직접 감염 과정을 시작하도록 유도하는 데 중점을 둡니다.
macOS 기본 기능 악용 및 은밀한 데이터 탈취
이러한 위협은 실행되면 탐지를 회피하고 데이터 수집을 간소화하기 위해 파일리스 기법, macOS 기본 유틸리티 및 AppleScript 자동화를 자주 사용합니다. 탈취된 정보에는 일반적으로 브라우저에 저장된 자격 증명 및 세션 데이터, iCloud 키체인의 민감한 항목, 그리고 추가적인 침해를 가능하게 하는 개발자 관련 비밀 정보가 포함됩니다.
악성 광고는 초기 접근 경로입니다.
이러한 공격 사슬의 상당수는 악성 광고, 특히 구글 광고를 통해 전달되는 광고에서 시작됩니다. DynamicLake 유틸리티나 인공지능 도구와 같은 합법적인 소프트웨어를 찾는 사용자는 가짜 웹사이트로 리디렉션됩니다. 이러한 사이트는 ClickFix 미끼를 사용하여 피해자가 복사 붙여넣기 명령이나 설치 프로그램 안내를 따르도록 유도하고, 결과적으로 악성코드가 자체적으로 설치되도록 합니다.
Python 스틸러는 빠른 적응을 가능하게 합니다
파이썬 기반 정보 탈취 악성코드는 유연성과 다양한 운영 체제에서 쉽게 재사용할 수 있다는 장점 때문에 공격자들에게 특히 매력적입니다. 이러한 위협은 주로 피싱 이메일을 통해 유포되며 다음과 같은 다양한 중요 자산을 탈취하도록 설계되었습니다.
로그인 자격 증명, 세션 쿠키, 인증 토큰, 신용 카드 정보 및 암호화폐 지갑 데이터
PXA 스틸러 및 메시징 앱 악용
대표적인 사례로는 베트남어를 사용하는 공격자들이 유포한 것으로 추정되는 PXA Stealer가 있습니다. 2025년 10월과 12월에 발생한 이 공격은 피싱 이메일을 통해 초기 접근을 시도하고, 레지스트리 실행 키 또는 예약된 작업을 이용하여 시스템의 지속성을 유지했습니다. 텔레그램은 명령 및 제어 통신과 데이터 유출에 사용되었습니다. 이와는 별도로, 공격자들은 WhatsApp과 같은 인기 메시징 플랫폼을 악용하여 금융 및 암호화폐 계정을 표적으로 삼는 Eternidade Stealer와 같은 악성코드를 유포하기도 했습니다. 이 공격은 2025년 11월에 공개되었습니다.
Windows에서 SEO 악용 및 가짜 소프트웨어 사용
정보 탈취 악성 프로그램은 macOS에만 국한되지 않습니다. 유사한 공격 캠페인에서는 Crystal PDF와 같은 가짜 PDF 편집기를 악용하여 악성 광고 및 검색 엔진 최적화(SEO) 조작을 통해 유포했습니다. 이러한 Windows 기반 공격은 Mozilla Firefox와 Google Chrome에서 쿠키, 세션 정보, 캐시된 자격 증명을 몰래 추출할 수 있는 자격 증명 탈취 프로그램을 배포합니다.
정보 탈취 공격에 대한 방어 조치
정보 탈취 위협에 대한 노출을 줄이기 위해 조직은 다음과 같은 다층적 방어 및 사용자 인식 제고 활동을 시행하는 것이 좋습니다.
- 악성 광고 리디렉션 체인, 사기성 설치 프로그램 및 ClickFix 유형의 메시지를 식별하는 방법을 사용자에게 교육합니다.
- 비정상적인 터미널 활동, iCloud 키체인에 대한 무단 접근, 새로 등록되었거나 비정상적인 도메인으로 향하는 의심스러운 외부 POST 요청을 모니터링합니다.
정보 탈취 공격이 비즈니스에 미치는 영향
정보 탈취 악성코드 감염은 광범위한 결과를 초래할 수 있습니다. 탈취된 자격 증명과 세션 데이터는 데이터 유출, 내부 시스템 무단 접근, 비즈니스 이메일 침해, 공급망 침입, 그리고 랜섬웨어 배포와 같은 후속 공격으로 이어질 수 있습니다. 이러한 위험을 줄이기 위해서는 사전 탐지와 교육이 매우 중요합니다.
