NotnullOSX macOS 악성코드
notnullOSX는 Go 프로그래밍 언어로 작성된 정교한 정보 탈취 악성코드 계열입니다. macOS 사용자를 대상으로 하며, 특히 암호화폐 및 기타 민감한 데이터를 탈취하는 데 중점을 둡니다. 공격자들은 일반적으로 ClickFix를 사칭한 캠페인이나 트로이목마화된 DMG 설치 파일을 통해 이 악성코드를 유포합니다. 어떤 기기에서든 이 악성코드가 발견되면 즉시 제거해야 합니다.
목차
notnullOSX는 감염 후 어떻게 작동하는가?
notnullOSX는 설치 후 전체 디스크 접근 권한이 부여되면 시스템에 저장된 파일의 상당 부분을 읽을 수 있습니다. 또한 원격 명령 서버와 통신을 유지하며 각각 특정 작업을 위해 제작된 악성 모듈을 다운로드합니다.
이러한 임시 구성 요소는 비밀번호를 탈취하고, 파일을 복사하고, 자격 증명을 수집하고, 악성코드의 기능을 확장하는 데 사용될 수 있습니다. 모듈은 필요에 따라 가져오기 때문에 공격자는 초기 침입 이후에도 지속적으로 감염을 변형할 수 있습니다.
브라우저 및 개인 데이터 도용 가능성
notnullOSX는 주요 웹 브라우저에 저장된 데이터를 집중적으로 공격합니다. 다양한 모듈을 사용하여 Google Chrome, Mozilla Firefox 및 Safari에서 특정 범주의 정보를 추출합니다.
해당 악성 소프트웨어는 다음을 훔칠 수 있습니다:
- 저장된 비밀번호, 쿠키, 북마크 및 검색 기록
- 기기에 저장된 메모, 텔레그램 데스크톱 세션 데이터, 그리고 첨부 파일 및 서식을 포함하여 대화당 최대 500개의 메시지가 포함됩니다.
- SSH 키, 클라우드 자격 증명, API 토큰 및 구성 파일은 사용자의 홈 폴더에 저장됩니다.
이렇게 도난당한 정보는 범죄자들에게 계정, 서버, 클라우드 환경 및 개발 플랫폼에 대한 접근 권한을 제공할 수 있습니다.
암호화폐 지갑이 주요 공격 대상입니다.
notnullOSX의 주요 목표는 암호화폐 탈취입니다. 이 악성 프로그램은 Atomic Wallet, Bitcoin Core, Electrum, Exodus, Wasabi Wallet 등 인기 있는 지갑 소프트웨어와 관련된 데이터를 찾습니다.
또한 브라우저 기반 지갑 확장 프로그램을 스캔하여 암호화된 시드 구문을 포함한 저장된 정보를 복사합니다. 암호화된 지갑 데이터조차도 나중에 비밀번호 공격이나 추가적인 사회 공학적 기법을 통해 악용될 수 있습니다.
앱 교체 기능은 위험성을 증가시킵니다.
기존의 악성 프로그램과는 달리, notnullOSX는 정상적인 애플리케이션을 악성 유사 프로그램으로 대체할 수 있습니다. 예를 들어 지갑 소프트웨어와 같은 신뢰할 수 있는 애플리케이션의 가짜 버전을 다운로드하여 원래 앱을 대체하고, 아이콘과 외관은 그대로 유지할 수 있습니다.
위조 애플리케이션은 실행 시 정상적인 것처럼 보이지만, 지갑 복구 문구와 같은 민감한 정보를 몰래 수집합니다. 이 기능은 원격으로 활성화 또는 비활성화할 수 있으며, 일반적으로 대상 애플리케이션이 피해자의 시스템에 이미 설치되어 있는 경우에만 사용됩니다.
단순한 도둑을 넘어선 행동: 쥐와 같은 행태
notnullOSX는 일반적인 정보 탈취 악성코드보다는 원격 접속 트로이목마(RAT)처럼 작동합니다. 운영자와 지속적인 연결을 유지하고 정기적으로 명령을 확인합니다.
이를 통해 공격자는 다음과 같은 작업을 수행할 수 있습니다.
- 감염 후 새로운 지침을 보내세요
- 추가 악성 모듈을 다운로드하고 실행하세요.
- 기능을 업데이트하거나 추가 페이로드를 배포하세요.
- 손상된 시스템에 대한 장기적인 제어권을 유지하십시오.
이러한 유연성 때문에 감염은 시간이 지남에 따라 진화하여 훨씬 더 심각한 피해를 초래할 수 있습니다.
notnullOSX는 어떻게 배포되나요?
이 악성 소프트웨어는 주로 사용자를 속여 직접 설치하도록 유도하는 소셜 엔지니어링 공격을 통해 확산됩니다. 피해자는 '보호된 Google 문서' 경고나 macOS 애플리케이션 손상 메시지와 같은 가짜 문제를 접하게 될 수 있습니다. 그런 다음 특정 단계를 따라 문제를 해결하도록 안내받는데, 이러한 수법은 '클릭픽스(ClickFix) '로 널리 알려져 있습니다.
이러한 단계에는 터미널에서 명령어를 실행하거나 악성 DMG 파일을 여는 작업이 포함되는 경우가 많습니다. notnullOSX는 가짜 소프트웨어 웹사이트, 사기성 다운로드 포털, 해킹된 YouTube 채널, 그리고 'WallSpace.app'과 같은 배경화면 도구와 같은 가짜 애플리케이션을 통해서도 배포되었습니다.
일부 피해자는 악성 소프트웨어가 기기 전체에 대한 접근 권한을 확보할 수 있도록 수동으로 전체 디스크 접근 권한을 활성화하는 방법을 안내받기도 합니다.
최종 보안 평가
notnullOSX는 브라우저 데이터, 암호화폐 자산, 개인 통신 내역, 인증 정보 및 개발자 자격 증명을 탈취할 수 있는 매우 위험한 macOS 위협입니다. 모듈식 설계, 지속적인 원격 제어 및 애플리케이션 교체 기능으로 인해 특히 위험합니다. 감염자는 계정 침해, 신원 도용, 금전적 손실 및 추가 악성코드 배포에 직면할 수 있습니다. 발견 즉시 제거하고 자격 증명을 완전히 재설정하는 것이 강력히 권장됩니다.
