Miolab Stealer
Miolab(Nova라고도 함)은 macOS 사용자를 표적으로 삼도록 특별히 설계된 고급 정보 탈취 악성코드입니다. 서비스형 악성코드(MaaS) 모델을 통해 해커 포럼에 배포되는 이 악성코드는 사이버 범죄자들이 전문적인 기술 지식 없이도 강력한 도구를 사용할 수 있도록 합니다. Miolab은 암호화폐 지갑 확장 프로그램, 웹 브라우저, 다양한 관리 애플리케이션에서 민감한 데이터를 추출할 뿐만 아니라 감염된 시스템에서 직접 파일을 수집하기도 합니다. 피해를 최소화하려면 발견 즉시 제거하는 것이 매우 중요합니다.
목차
효율성을 위해 설계되었고, 회피를 위해 제작되었습니다.
Miolab은 단순한 디스크 스틸러가 아닙니다. 중앙 집중식 제어판과 공격 관리 도구를 통합하여 위협 수준을 크게 높였습니다. 이러한 인프라를 통해 숙련도가 낮은 공격자조차도 복잡한 공격 캠페인을 실행할 수 있습니다. 경량화되고 최적화된 아키텍처는 확산 속도를 높이고, 다양한 macOS 환경에서 일관된 성능을 보장하며, 기존 탐지 메커니즘을 회피하는 데 도움을 줍니다.
명령 및 제어: 공격 관리 간소화
내장된 제어판은 공격자에게 지리적 데이터 및 수집된 정보를 포함하여 침해당한 피해자에 대한 구조화된 개요를 제공합니다. 또한 탈취한 Google 인증 세션을 재사용하는 기능도 포함되어 있어 비밀번호를 요구하지 않거나 2단계 인증을 직접 우회하여 무단으로 계정에 접근할 수 있습니다.
또한, Miolab은 악성 배포 페이지 및 ClickFix 방식의 공격 방법을 지원합니다. 운영자는 텔레그램을 통한 실시간 알림을 받고 캠페인의 다양한 단계를 자동화하여 운영 효율성과 규모를 향상시킬 수 있습니다.
브라우저 및 암호화폐 데이터 추출 기능
Miolab은 브라우저에 저장된 데이터를 적극적으로 공격하여 자격 증명 및 세션 관련 정보를 추출하고, 이를 악용하여 시스템을 침해합니다. Miolab의 공격 범위는 주류 브라우저뿐 아니라 특정 브라우저까지 광범위하여 그 영향력이 매우 큽니다.
- 수집되는 민감한 브라우저 데이터에는 저장된 비밀번호, 쿠키, 검색 기록, 이메일 및 주소와 같은 자동 완성 정보가 포함됩니다.
- 구글 토큰 및 사파리 쿠키와 같은 인증 관련 정보도 수집됩니다.
대상 브라우저는 Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex 및 Coc Coc입니다. - Miolab은 브라우저를 넘어 200개 이상의 지갑 확장자에서 .dat, .key, .keys와 같은 파일을 추출하여 암호화폐 자산에 집중적으로 공격합니다. 또한 하드웨어 지갑 관리 애플리케이션을 표적으로 삼아 중요한 복구 데이터를 탈취할 수 있도록 합니다.
- 대상 암호화폐 도구에는 Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper 및 Wasabi Wallet이 포함됩니다.
- Ledger Live, Ledger Wallet, Trezor Suite와 같은 애플리케이션은 24단어 복구 시드 구문 추출을 위해 특별히 설계되었습니다.
브라우저를 넘어서: 메시징 및 로컬 데이터 활용
이 악성 프로그램은 통신 및 생산성 애플리케이션으로까지 활동 범위를 넓힙니다. 텔레그램이나 디스코드와 같은 플랫폼에서 활성 세션을 가로채어 자격 증명 없이 계정 접근 권한을 획득할 수 있습니다. 또한 사용자가 비밀번호나 암호화폐 복구 문구와 같은 민감한 정보를 의도치 않게 저장할 수 있는 애플 노트 앱도 검사합니다.
데이터 수집이 완료되면 Miolab은 탈취한 정보를 ZIP 아카이브로 압축하여 HTTP를 통해 유출합니다. 활동을 숨기기 위해 애플리케이션을 실행할 수 없다는 기만적인 macOS 오류 메시지를 표시합니다.
영향: 감염의 실제 비용
Miolab 감염은 심각한 결과를 초래할 수 있습니다. 피해자는 암호화폐 도난으로 인한 금전적 손실, 무단 계정 접근, 신원 도용, 평판 손상, 그리고 최초 감염으로 인한 추가 악성코드 감염 가능성 등의 피해를 입을 수 있습니다.
감염 사슬: 사회 공학의 핵심
Miolab은 시스템 침투를 위해 상당한 속임수를 사용합니다. 사이버 범죄자들은 Miolab을 디스크 이미지(.DMG) 파일로 패키징된 가짜 macOS 애플리케이션 형태로 배포하는데, 이 파일들은 정식 소프트웨어처럼 보이도록 정교하게 제작되었습니다. 이러한 설치 프로그램은 신뢰도를 높이기 위해 실제와 같은 브랜드, 아이콘, 사용자 인터페이스를 사용하는 경우가 많습니다.
실행되면 악성 프로그램은 여러 단계에 걸친 감염 과정을 시작합니다. 먼저 가짜 설치 인터페이스를 표시하여 사용자가 보안 경고를 무시하고 마우스 오른쪽 버튼을 클릭한 후 '열기'를 선택하도록 유도합니다. 그런 다음 터미널 애플리케이션을 종료하여 악성 프로그램의 활동을 숨기려고 시도합니다. 마지막으로 가짜 macOS 암호 입력창이 나타나 사용자가 시스템 자격 증명을 입력하도록 속입니다.
Miolab은 비밀번호를 검증한 후 하드웨어 사양 및 소프트웨어 구성과 같은 시스템 수준의 정보를 수집합니다. 그런 다음 바탕 화면, 문서, 다운로드와 같은 주요 디렉터리를 스캔하여 문서, 스프레드시트, PDF 및 비밀번호 관련 데이터와 같은 파일을 대상으로 합니다. 이 과정에서 사용자에게 권한 요청이 표시될 수 있지만, 악성 프로그램은 조용히 수집된 데이터를 모아 유출을 준비합니다.
