MacStealer

MacStealer로 알려진 최근에 발견된 맬웨어가 Apple의 Mac 운영 체제 사용자에게 위협이 되고 있습니다. 이 특정 맬웨어는 피해자로부터 iCloud KeyChain 자격 증명, 웹 브라우저 로그인 정보, 암호화폐 지갑 및 기타 중요한 파일을 비롯한 민감한 정보를 훔치도록 설계되었습니다.

MacStealer가 특히 우려스러운 점은 이것이 'MaaS(Malware-as-a-Service)' 플랫폼으로 배포되고 있다는 것입니다. 즉, 개발자가 이를 더 확산시키려는 다른 사람들에게 판매하기 위해 미리 만들어진 맬웨어 빌드를 제공하고 있음을 의미합니다. . 이러한 미리 만들어진 빌드는 100달러에 구매할 수 있으므로 악의적인 공격자가 자신의 캠페인에 악성 코드를 쉽게 통합할 수 있습니다.

MacStealer를 처음 발견한 Uptycs의 연구원에 따르면 이 위협 요소는 macOS Catalina(10.15) 및 가장 최신 버전인 Ventura(13.2)까지의 모든 버전에서 실행될 수 있습니다. 이것은 거의 모든 Mac 사용자가 이 맬웨어에 잠재적으로 취약하다는 것을 의미합니다.

MacStealer는 광범위한 민감한 정보를 손상시킬 수 있습니다.

MacStealer는 개발자가 홍보한 Dark Web 불법 포럼에서 발견된 맬웨어입니다. 판매자는 멀웨어가 아직 초기 베타 개발 단계에 있으므로 패널이나 빌더를 제공하지 않는다고 주장합니다. 대신 이 맬웨어는 macOS Catalina, Big Sur, Monterey 및 Ventura를 감염시킬 수 있는 사전 구축된 DMG 페이로드로 판매됩니다.

위협 행위자는 빌더나 패널이 부족하여 위협이 너무 낮은 가격에 판매되고 있다고 말하지만 곧 더 많은 고급 기능이 추가될 것이라고 약속합니다. 개발자에 따르면 MacStealer는 손상된 시스템에서 광범위한 민감한 데이터를 훔칠 수 있습니다.

예를 들어, MacStealer는 Firefox, Chrome 및 Brave와 같은 널리 사용되는 웹 브라우저에서 계정 암호, 쿠키 및 신용 카드 정보를 훔칠 수 있는 것으로 알려졌습니다. 또한 DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY 및 DB 파일을 포함하여 다양한 유형의 파일을 추출할 수 있습니다.

또한 이 악성코드는 Base64 인코딩 형식으로 키체인 데이터베이스(login.keychain-db)를 추출할 수 있습니다. 이것은 사용자의 비밀번호, 개인 키 및 인증서를 보유하고 로그인 비밀번호로 암호화하는 macOS 시스템의 보안 스토리지 시스템입니다. 이 기능은 웹 페이지 및 앱에 로그인 자격 증명을 자동으로 입력할 수 있습니다.

마지막으로 MacStealer는 시스템 정보, 키체인 암호 정보를 수집하고 Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet 및 Binance와 같은 수많은 암호 지갑에서 암호 화폐 지갑을 훔칠 수 있습니다. 이러한 모든 기능으로 인해 MacStealer는 Mac 사용자에게 매우 위험하고 우려되는 맬웨어입니다.

MacStealer 악성코드의 운영 흐름

MacStealer는 위협 행위자에 의해 서명되지 않은 DMG 파일로 배포됩니다. 이 파일은 피해자가 macOS 시스템에서 실행하도록 속이기 위해 합법적이거나 바람직한 것으로 위장하기 위한 것입니다. 피해자가 파일을 실행하면 악성코드가 손상된 시스템에서 암호를 수집할 수 있도록 하는 명령을 실행하는 가짜 암호 프롬프트가 나타납니다.

암호가 수집된 후 MacStealer는 계정 암호, 쿠키, 신용 카드 세부 정보, 암호 화폐 지갑 및 잠재적으로 민감한 파일과 같은 기타 민감한 데이터를 수집합니다. 그런 다음 이 모든 데이터를 ZIP 파일에 저장하고 원격 C&C 서버로 전송하여 나중에 공격자가 수집하도록 합니다.

동시에 MacStealer는 특정 기본 정보를 미리 구성된 Telegram 채널로 전송하여 위협 행위자가 새 데이터가 도난당할 때마다 신속하게 알림을 받고 ZIP 파일을 다운로드할 수 있습니다.

대부분의 MaaS(Malware-as-a-Service) 작업은 Windows 사용자를 대상으로 하지만 macOS는 이러한 위협에 면역이 되지 않습니다. 따라서 macOS 사용자는 경계를 유지하고 신뢰할 수 없는 웹 사이트에서 파일을 설치하지 않는 것이 중요합니다. 또한 사용자는 최신 위협으로부터 보호하기 위해 운영 체제와 보안 소프트웨어를 최신 상태로 유지해야 합니다.