MacSync 맬웨어

MacSync는 2025년 봄에 처음 등장한 mac.c 스틸러의 리브랜딩 및 업그레이드된 변종입니다. 불과 한 달 후, 이 악성코드는 새로운 이름으로 다시 등장했습니다. 이전 버전과 마찬가지로 데이터 탈취 기능을 갖추고 있지만, MacSync는 추가적인 백도어 구성 요소를 도입했습니다. 특히, 원래 스틸러는 C 언어로 개발된 반면 백도어 모듈은 Go 언어로 작성되어 모듈화되고 더욱 정교한 구조로 전환되었음을 보여줍니다.

ClickFix 사기를 통한 전 세계 확산

MacSync는 전 세계적으로 확인되었으며, 감염은 우크라이나, 미국, 독일, 영국, 스페인에 집중되어 있습니다. 이 악성코드는 주로 ClickFix 사기를 통해 유포되는데, 이는 피해자가 시스템에서 악성 명령을 실행하도록 속이는 방식입니다. MacSync가 실행되면 가짜 비밀번호 프롬프트를 표시하여 기기의 자격 증명을 수집하는 방식으로 침투를 시작합니다.

이중 기능: 데이터 도난 및 원격 제어

MacSync는 접근 권한을 확보한 후 Go 기반 백도어를 배포합니다. 이 구성 요소는 명령 및 제어(C&C) 서버에 연결하여 공격자가 원격으로 명령을 실행할 수 있도록 합니다. 동시에, 데이터 탈취 모듈은 다음과 같은 민감한 정보를 수집합니다.

• 개인 파일
• 로그인 자격 증명
• 암호화폐 지갑

탐지를 피하고 분석을 방해하기 위해 MacSync는 코드 난독화를 사용하고 해당 작업과 관련된 임시 파일을 삭제합니다.

백도어 모듈의 목적

백도어는 사이버 범죄자에게 감염된 시스템에 대한 비밀 접근 권한을 부여하도록 설계되었습니다. MacSync의 백도어는 원격 명령 실행을 용이하게 할 뿐만 아니라 추가적인 악성 모듈에 대한 여지를 남겨둡니다. 이러한 모듈식 접근 방식은 악성코드의 기능을 확장하고 감염된 시스템을 더욱 손상시킬 수 있는 잠재력을 크게 높입니다.

ClickFix를 넘어서는 확산

Cloudflare를 악용한 ClickFix 사기가 여전히 주요 유포 경로이지만, 연구원들은 MacSync가 여러 배포 경로를 통해 확산될 수 있다고 경고합니다. 사이버 범죄자들은 악성코드를 합법적인 파일이나 애플리케이션으로 위장하기 위해 피싱과 소셜 엔지니어링을 자주 사용합니다.

가장 흔한 감염 기술은 다음과 같습니다.

• 온라인 사기, 악성 광고 및 사기성 다운로드

마지막 생각

MacSync는 데이터 탈취 작전과 백도어 기능을 결합함으로써 이전 버전인 mac.c에서 크게 발전했습니다. 모듈식 설계와 광범위한 배포 방식은 특히 위험한 위협이 될 수 있습니다. 사용자는 피싱 캠페인, 의심스러운 다운로드, 가짜 업데이트 메시지 등이 여전히 이 악성코드의 주요 감염 경로이므로 이에 항상 주의해야 합니다.