맥OS 사용자를 대상으로 진행 중인 인포스틸러 공격이 발견됐다. 공격자들은 악성 광고와 가짜 웹사이트를 이용해 두 가지 다른 스틸러 멀웨어를 배포하고 있다. 아토믹 스틸러와 리얼스트로 알려진 러스트 기반 스틸러 계열과 관련된 변종이다.

공격 체인은 사용자가 구글과 같은 유명 검색 엔진에서 브라우저 아크(Arc)와 같은 특정 소프트웨어를 검색하는 것으로 시작된다. 스폰서 링크를 클릭하면 사용자는 멀웨어를 호스팅하는 "airci[.]net"과 같은 위조 웹사이트로 리디렉션된다. 특히 이러한 사이트에 직접 액세스하면 탐지 회피가 작동된다.

이 악성 웹사이트는 사용자에게 "ArcSetup.dmg"와 같은 디스크 이미지 파일을 다운로드하도록 유도하며, 이 파일은 아토믹 스틸러 멀웨어를 전달한다. 이 멀웨어는 가짜 대화 상자를 통해 시스템 암호를 입력하도록 유도해 사용자를 속이고 궁극적으로 민감 정보를 탈취해 가도록 설계되었다.

또한 무료 그룹 회의 예약 소프트웨어 제공업체를 사칭하는 "meethub[.]gg"라는 이름의 가짜 웹사이트도 발견되었다. 그러나 이 웹사이트는 합법적인 서비스를 제공하는 대신 사용자의 키체인 데이터, 저장된 자격 증명, 암호화폐 지갑 정보를 수집할 수 있는 또 다른 변종 탈취 멀웨어를 설치한다. 이 멀웨어는 아토믹 스틸러와 유사하게 기만적인 AppleScript 호출을 사용해 사용자에게 맥OS 로그인 암호를 입력하라는 메시지를 전달한다.

또한, 다양한 애플리케이션에서 자격 증명과 데이터를 추출하는 것을 목표로 하는 스틸러 멀웨어를 배포하기 위해 "App_v1.0.4.dmg"와 같은 악성 DMG 파일을 사용하는 것도 발견됐다. 무해한 설치로 위장한 이러한 DMG 파일은 사용자를 속여 맥OS의 게이트키퍼 보안 기능을 우회하도록 유도해 결국 멀웨어 설치로 이어지게 한다.

이러한 공격의 배후에 있는 공격자들은 암호화폐 업계에 종사하는 개인을 표적으로 삼고 있으며, 사회 공학 기법을 활용해 거짓으로 피해자를 유인하는 것으로 관찰된다. 피해자에게 취업 기회나 팟캐스트 인터뷰 초대를 미끼로 접근해 결국 "meethub[.]gg"와 같은 사기성 웹사이트에서 악성 애플리케이션을 다운로드하도록 유도할 수 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★