이전에는 Windows 시스템만을 표적으로 삼았던 널리 알려진 사회 공학 캠페인이 확대되어 이제는 가짜 브라우저 업데이트를 사용하여 위험한 정보 도용자인 Atomic Stealer를 macOS 시스템에 배포하고 있습니다.
전문가들은 이전에 특히 Windows를 겨냥한 지배적인 사회 공학 사기가 macOS로 전환하는 것을 목격한 것은 이번이 처음일 수 있다고 말합니다.
AMOS라고도 불리는 이 악성코드는 올해 초 전용 텔레그램 채널에서 나타났습니다. 월 1,000달러 정도의 가입비로 악성코드를 대여할 수 있는 범죄자들은 이후 다양한 수단을 이용해 악성코드를 유포해 왔다. 가장 일반적인 전술은 인기 있는 앱의 설치 프로그램이나 크랙이 발생한 것으로 알려진 Microsoft Office 및 기타 널리 사용되는 애플리케이션을 통해 악성 코드를 배포하는 것입니다.
클리어페이크 캠페인
이번 주 Malwarebytes의 연구원들은 보고된 관찰 Chrome 및 Safari 브라우저에 대한 가짜 업데이트를 제공하는 수백 개의 손상된 웹사이트를 통해 Atomic Stealer를 배포하는 위협 행위자입니다. 또 다른 보안 연구원인 Randy McEoin은 첫번째 반점이 가짜 브라우저 업데이트를 생성하는 악성 코드를 "ClearFake"라고 명명했습니다.
당시 McEoin은 ClearFake를 사용자가 손상된 웹 사이트를 방문할 때 처음에는 페이지를 정상적으로 로드한 다음 사용자에게 브라우저를 업데이트하라는 메시지를 표시하는 페이지로 바꾸는 악성 코드라고 설명했습니다. 보안 연구원은 메시지에 응답한 Mac 사용자는 시스템에 Atomic Stealer를 다운로드하게 된다고 지적했습니다.
Malwarebytes 연구원인 Jerome Segura는 이번 주 블로그에서 “이전에는 Windows용으로 예약되었던 주요 소셜 엔지니어링 캠페인 중 하나가 지리적 위치뿐만 아니라 운영 체제 측면에서도 확장되는 것을 보는 것은 이번이 처음일 것입니다.”라고 말했습니다.
Segura에 따르면 ClearFake에 감염된 웹사이트가 제공하는 Safari 템플릿은 Apple 공식 웹사이트의 템플릿과 동일하며 여러 언어로 제공됩니다. Segura는 Windows 사용자에게 사용되는 것과 매우 유사한 Mac 사용자용 Chrome 사용자를 위한 템플릿도 있다고 말했습니다.
Mac 사용자를 위한 페이로드는 브라우저 업데이트로 가장하는 디스크 이미지(DMG) 파일로, 사용자를 위한 여는 방법에 대한 지침이 포함되어 있습니다. 파일을 열면 즉시 관리자 비밀번호를 묻는 메시지가 표시된 다음 시스템에서 데이터를 훔치는 명령을 실행합니다. Malwarebytes 연구원들은 암호를 훔치고 손상된 시스템에서 다양한 파일을 가져와 원격 명령 및 제어 서버로 전달하는 명령을 관찰했습니다.
'원 히트 스매시 앤 그랩'
센티넬원, 악성코드를 추적하고 있는는 Atomic Stealer가 계정 비밀번호, 브라우저 데이터, 세션 쿠키 및 암호화폐 지갑을 훔칠 수 있다고 설명했습니다. 보안 공급업체는 300년 2023월에 작성자의 텔레그램 채널에서 Atomic Stealer 구독자가 최대 XNUMX명에 달한다고 보고했습니다. 악성 코드를 분석한 결과 Atomic Stealer에는 최소 두 가지 버전이 있는 것으로 나타났으며 그 중 하나는 게임 설치 프로그램에 숨겨져 있었습니다. SentinelOne은 이 악성 코드 버전이 게이머와 암호화폐 사용자의 정보를 훔치기 위해 특별히 설계된 것처럼 보이는 것을 발견했습니다.
SentinelOne이 보고서에서 강조한 Atomic Stealer의 한 가지 행동은 악성 코드가 손상된 시스템에서 지속성을 확보하려는 시도가 전혀 없다는 것입니다. 대신, 이 악성코드는 SentinelOne이 설명하는 AppleScript 스푸핑을 통한 "원 히트 스매시 앤 그랩 방법론"에 의존하는 것으로 나타났습니다.
Segura는 “가짜 브라우저 업데이트는 수년 동안 Windows 사용자에게 일반적인 주제였습니다.”라고 말했습니다. 그러나 ClearFake 캠페인이 있기 전까지 위협 행위자들은 macOS 악성 코드를 배포하는 데 이 벡터를 사용하지 않았습니다. “AMOS와 같은 스틸러의 인기로 인해 약간의 조정만으로 페이로드를 다양한 피해자에 맞게 조정하는 것이 매우 쉬워졌습니다.”라고 그는 말했습니다.
새로운 맬웨어와 캠페인은 일부 사람들이 macOS 시스템에 대한 위협 행위자의 관심이 더 크다고 보고한 내용의 최신 징후일 뿐입니다. 지난 XNUMX월 Accenture는 다음과 같은 보고를 했습니다. 1,000의 % 증가 Accenture는 2019년부터 운영 체제를 표적으로 삼은 공격자 중 macOS용 익스플로잇에 대해 최대 1만 달러를 제안한 공격자가 있다는 사실을 발견했습니다. “가장 우려되는 점은 유명 배우의 등장 긍정적인 평판과 대규모 예산으로 macOS 보안 기능을 우회할 수 있는 익스플로잇 및 기타 방법을 찾고 있습니다.”라고 Accenture는 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/attacks-breaches/threat-actor-using-fake-browser-updates-to-distribute-mac-infostealer
