생태계 Mac 컴퓨터 이미 차원이 다른 수준에서 활동하는 위협에 직면했습니다. 맥싱크 스틸러컴퓨터에 침투하여 정보를 훔치는 데 특화된 악성 소프트웨어입니다. 애플 자체의 신뢰할 수 있는 시스템을 활용하여과거의 조잡한 바이러스와는 달리, 이 악성 소프트웨어는 유효한 개발자 서명과 공증된 검증 절차를 거쳐 합법적이고 신뢰할 수 있는 애플리케이션처럼 위장하고 있으며, 분석 결과에 따르면 스페인을 비롯한 유럽 전역에서 유통되고 있습니다. 맥과 리눅스에 대한 사이버 공격.
최근 변종에서 이 악성 코드 계열은 이 앱은 Swift로 작성되었으며 Apple의 서명 및 공증을 받았습니다.이를 통해 macOS의 초기 보안 조치, 특히 Gatekeeper 및 XProtect와 같은 메커니즘을 우회할 수 있습니다. 이러한 상당한 도약은 조기 탐지를 더욱 어렵게 만들고 다음과 같은 가능성을 열어줍니다... 개인 및 기업 데이터의 은밀한 유출 가정 환경과 직장 환경 모두에서.
MacSync Stealer란 무엇이며 macOS에서 어떻게 발전해 왔습니까?
그의 첫 등장에서, 해당 감염은 사용자의 명시적인 행동을 필요로 하는 기법에 의존했습니다.ClickFix나 터미널에서 "복사 및 붙여넣기" 명령어를 사용하여 악성 스크립트를 실행하는 것과 유사한 방법이 사용되었습니다. 이러한 접근 방식은 사용자의 수동 조작을 더 많이 요구하여, 문제가 있음을 의심하고 피해가 더 커지기 전에 설치를 중단할 수 있는 기회를 제공했습니다.
의 분석 Jamf 위협 연구소애플 기기 보안을 선도하는 연구소는 최신 변종에서 다소 다른 상황을 묘사하고 있습니다. 보고서에 따르면 MacSync Stealer는 다음과 같은 결과를 초래했습니다. 훨씬 더 자동화되고 조용한 감염 모델을 향한 도약피해자에게 드러나는 흔적을 최소화하고 애플의 서명 및 공증을 통해 형성된 신뢰에 의존하는 방식입니다.
핵심은 공격의 첫 번째 단계가 다음과 같이 제시된다는 점입니다. Swift로 개발된 애플리케이션이며, 정식 개발자 ID와 유효한 코드 서명을 보유하고 있으며 공증 절차를 통과했습니다.운영 체제와 대부분의 사용자에게 있어 이러한 조합은 안정적인 소프트웨어와 동의어처럼 보이지만, 실제로는 치밀하게 설계된 감염 사슬의 첫 번째 연결 고리입니다.
많은 경우, 위협은 다른 모습으로 위장하여 다가온다. 메시징 서비스, 생산성 도구 또는 동기화 유틸리티이름, 아이콘, 설명 모두 전혀 무해해 보이는 이러한 외관은 초기 의심을 더욱 줄여줍니다. 이는 맥이 일상적인 업무 도구로 자리 잡은 유럽의 사무실, 공공 기관 및 기업에서 특히 우려스러운 부분입니다.
Gatekeeper를 우회하고 드로퍼 역할을 하는 Swift 설치 프로그램입니다.
Jamf가 설명한 캠페인은 위협의 첫 번째 구성 요소가 다음과 같이 작동함을 보여줍니다. Swift로 작성된 드롭퍼겉보기에는 합법적인 설치 프로그램처럼 보이지만, 실제로는 원격 서버에서 악성 코드를 다운로드하기 위한 사전 준비 작업을 하는 프로그램입니다. 처음에는 이 앱에 포함된 Mach-O 바이너리가... 서명 및 공증을 받은 것으로 보이며, 실제 개발자 팀 ID와 연결되어 있습니다.따라서 초기 게이트키퍼 검사를 쉽게 통과합니다.
분석된 사례 중 하나에서, 점적기는 다음과 같은 형태로 배포되었습니다. 메시징 애플리케이션 이름이 포함된 DMG 디스크 이미지"zk-call-messenger-installer-3.9.2-lts.dmg"와 같은 이름으로 배포되고, 캠페인을 위해 준비된 도메인에 호스팅됩니다. 설치 프로그램은 사용자에게 통화 및 메시지 도구인 것처럼 위장하여 배포됩니다. 실행하려면 두 번 클릭하기만 하면 됩니다.기존 감염병처럼 복잡한 절차를 거치지 않고도 감염을 예방할 수 있습니다.
패키지에 서명이 되어 있더라도 일부 시나리오에서는 공격자가 추가 정보를 삽입할 수 있습니다. 사용자가 마우스 오른쪽 버튼을 클릭하고 "열기"를 선택하도록 강제하는 방법이는 앱이 맥 앱 스토어에서 다운로드되지 않았을 때 macOS에서 표시되는 추가 경고를 우회하는 고전적인 수법입니다. 많은 사람들이 간과하는 이 작은 디테일은 특히 소프트웨어가 잘 알려지지 않은 웹사이트에서 제공되는 경우 주의해야 할 사항입니다.
사용자가 애플리케이션을 시작하면 드로퍼는 일련의 작업을 수행합니다. 2단계로 넘어가기 전 환경 점검다른 단계들 중에서도, 컴퓨터의 인터넷 연결이 안정적인지 확인하고, 특정 시스템 상태를 점검하며, 경우에 따라서는 최소 실행 시간 동안 기다립니다. 3600 초 그들의 행동이 너무 즉각적이거나 의심스럽게 보이지 않도록 하기 위해서입니다.
공격자가 설정한 조건이 충족되면 프로그램은 연결됩니다. 원격 명령 및 제어 서버 MacSync Stealer 코어가 포함된 인코딩된 스크립트 또는 페이로드(일반적으로 Base64 형식)를 다운로드합니다. 이 단계에서는 다음을 담당하는 코드가 실행됩니다. 정보를 탈취하고 해킹당한 Mac에 대한 제어권을 유지합니다.반면 최초 설치 프로그램은 트로이 목마 역할만 하도록 제한됩니다.
탐지를 피하기 위해 부풀려진 DMG 파일, 미끼 파일 및 다운로드 변경 사항을 사용합니다.
연구자들의 관심을 가장 많이 끈 측면 중 하나는 사용 방식입니다. 미끼 파일로 가득 찬 대용량 디스크 이미지이 설치 프로그램과 관련된 DMG 파일은 대략 다음과 같습니다. 25,5 MB겉으로 보기에는 단순한 메시징 애플리케이션이나 간단한 유틸리티처럼 보이지만, 이례적으로 높은 트래픽량을 보이고 있습니다.
Jamf Threat Labs에 따르면, 이러한 가중치는 다음과 같은 방식으로 달성됩니다. PDF 파일이나 기타 내장 파일과 같이 관련 없는 문서를 패키지에 추가하여 용량을 늘리는 행위 앱 기능에 아무런 기여도 하지 않는 내용들. 실제 구성 요소와 섞여 있는 불필요한 콘텐츠들. 이로 인해 안티바이러스 및 보안 솔루션에서 수행하는 자동 분석이 복잡해집니다.더 많은 양의 데이터를 처리하고 무엇이 합법적이고 무엇이 불법적인지 구별해야 하는 사람들.
디스크 이미지를 마운트하고 애플리케이션을 실행하면 드로퍼가 시작됩니다. 로컬 환경 스캐닝 연결 상태부터 특정 시스템 매개변수까지 모든 것을 확인합니다. 시나리오가 적합하다고 판단될 때만 원격 인프라에 연결하여 두 번째 모듈을 다운로드합니다. 많은 경우 부하는 다음과 같습니다. 주로 메모리에서 실행되므로 디스크 공간을 거의 차지하지 않습니다. 이는 이후의 법의학적 탐지를 더욱 복잡하게 만듭니다.
이 두 번째 단계에서 다운로드된 코드는 다음과 같습니다. MacSync는 Mac.c로 알려진 이전 제품군의 진화된 버전입니다.독립적인 조사에 따르면 이 에이전트는 Go 언어로 개발되었으며, macOS를 표적으로 삼는 다른 최신 위협들과 마찬가지로 단순히 비밀번호를 훔치는 것 이상의 다양한 기능을 가지고 있는 것으로 나타났습니다.
게다가 공격자들은 그들의 전술을 더욱 세밀하게 조정하기까지 합니다. 다운로드 과정에서 사용되는 명령어다음과 같은 도구의 사용 curl 이는 흔하지 않은 매개변수 조합을 사용하여 수행됩니다. 예를 들어, 일반적인 문자열을 분리하는 방식입니다. -fsSL 깃발에 -fL y -sS그리고 다음과 같은 옵션을 포함합니다. --noproxy— ~의 목적으로 반복되는 패턴을 기반으로 탐지 규칙을 회피함 또한 서버와의 연결 안정성을 향상시킵니다.
데이터 도둑에서 원격 제어 플랫폼으로
MacSync Stealer의 핵심은 단순한 정보 탈취를 넘어섭니다. 기술 분석에 따르면, MacSync Stealer는 다음과 같은 내용을 설명합니다. 완전한 명령 및 제어(C2) 기능을 갖춘 에이전트영향을 받는 팀과 지속적인 의사소통을 유지하고 실시간 지시를 받을 준비가 되어 있습니다.
이 패밀리에 속하는 기능들 중에서 특히 다음과 같은 기능들이 두드러집니다. 자격 증명, 브라우징 쿠키, 은행 카드 데이터 도난 및 암호화폐 지갑공격자에게 중요한 모든 유형의 파일 유출은 물론, 접근 권한 획득도 가능합니다. macOS 키체인에 저장된 정보 사파리, 크롬, 파이어폭스와 같은 브라우저의 데이터는 이미 금융 사기 및 기업 스파이 활동의 매우 매력적인 표적이 되고 있습니다.
또 다른 민감한 사항은 다음과 같은 능력입니다. 필요에 따라 추가 모듈을 설치하세요.이러한 모듈식 접근 방식은 침해당한 팀이 일종의 악의적인 "만능 도구"가 될 수 있도록 합니다. 오늘은 암호 수집에 중점을 두다가 내일은 키 입력 기록, 파일 암호화, 기업 네트워크 내 횡적 이동 또는 새로운 원격 액세스 도구 배포에 중점을 둘 수 있습니다.
스페인을 비롯한 유럽의 사용자 및 기업에게 있어, 단순한 데이터 도둑에서 기업으로의 이러한 전환은 유연한 원격 제어 플랫폼 이는 위험 수준의 상당한 도약을 의미합니다. 감염된 Mac은 단순히 일회성 정보 유출의 원인이 되는 것을 넘어, 더욱 심각한 문제로 발전하게 됩니다. 기업 네트워크, 클라우드 서비스 또는 중요 시스템에 대한 게이트웨이 기기가 접근할 수 있는 영역.
이 시나리오는 여러 사이버 보안 회사들이 관찰한 더 광범위한 추세와 일치합니다. macOS를 대상으로 하는 정보 탈취 악성코드 및 모듈형 트로이목마의 지속적인 증가이는 애플 기기의 시장 점유율 증가와 애플 사용자들의 경제적 특성으로 인해 온라인 사기의 주요 표적이 되고 있기 때문입니다.
애플의 대응과 macOS의 자동 보호 기능의 한계
Jamf Threat Labs 및 기타 보안 회사의 경고에 따라, 애플은 MacSync Stealer 공격에 사용된 팀 ID와 관련된 코드 서명 인증서를 취소했습니다.이 조치를 통해 운영 체제는 해당 식별자로 서명된 애플리케이션을 더 이상 신뢰하지 않으며, 이를 사용하여 악성 소프트웨어를 배포하려는 새로운 빌드를 차단합니다.
이와 동시에 회사는 자체 시스템을 업데이트했습니다. XProtect 및 Gatekeeper와 같은 내부 보호 메커니즘새로운 탐지 규칙과 알려진 해시 및 서명 목록을 사용합니다. 현재 macOS 버전에서는 이러한 블랙리스트가 사용자 개입 없이 자주 업데이트되므로 이를 숙지하는 것이 중요합니다. 시스템을 최신 상태로 유지하세요 사용 가능한 업데이트를 적용하여 해당 패치 및 개선 사항의 이점을 누리십시오.
그럼에도 불구하고 전문가들은 MacSync Stealer 사건이 다음과 같은 점을 보여준다고 주장합니다. macOS용 악성코드의 일반적인 동향공격자들은 점점 더 다음과 같은 시도를 하고 있습니다. 서명 및 공증된 실행 파일에 코드를 포함시키세요.그래서 마치 완전히 합법적이고 신뢰할 수 있는 애플리케이션처럼 보이게 만듭니다. 이렇게 하면 사용자가 명확한 경고를 받을 가능성이 크게 줄어듭니다.
Jamf와 다른 회사들의 보고서는 Apple이 손상된 인증서를 취소하더라도, 사이버 범죄자들은 새로운 개발자 ID를 등록하고 동일한 전략을 반복할 수 있습니다.새로 추가된 규칙을 우회하기 위해 세부적인 사항들을 조정하는 것입니다. 이러한 숨바꼭질 같은 게임으로 인해 macOS의 기본 보안 기능에 추가적인 방어 계층이 더해지게 됩니다.
이러한 맥락은 다음 생각을 더욱 강화합니다. 안전은 자동 보호 장치에만 전적으로 의존할 수 없습니다.Gatekeeper, XProtect 및 공증 프로세스가 보안 수준을 상당히 높였지만, MacSync Stealer와 같은 공격은 누군가가 검증 과정에 자신의 앱을 몰래 끼워 넣는 데 성공하면 신뢰 메커니즘이 사용자에게 불리하게 사용될 수도 있음을 보여줍니다.
스페인 및 유럽의 Mac 사용자에게 미치는 영향과 보호를 위한 모범 사례
맥의 확장 스페인 및 유럽 전역의 사무실, 대학 및 가정 macOS는 범죄 조직에게 점점 더 매력적인 표적이 되고 있습니다. 더 이상 틈새 플랫폼이 아니며, 점점 더 많은 조직이 macOS를 인프라에 통합하고 있어 MacSync Stealer와 같은 위협이 해당 지역에서 심각한 문제로 대두되고 있습니다.
전문가들은 기술적 능력과 일상 습관을 모두 강화할 것을 권장합니다. 첫 번째 단계는 겉보기에는 간단하지만 매우 중요합니다. macOS와 앱을 최신 상태로 유지하세요. 그리고 수행 정기 백업애플은 이러한 유형의 위협에 대한 새로운 시그니처와 차단 규칙을 자주 도입하기 때문에 보안 업데이트를 무시하면 이미 보고되고 패치된 변종에 취약해질 수 있습니다.
또한 다음의 중요성이 강조됩니다. 소프트웨어 설치를 Mac App Store 또는 유명 개발사의 제품으로 제한하세요.설치 프로그램에 서명과 공증이 되어 있더라도, 이 사례에서 볼 수 있듯이 그것이 절대적인 보안을 보장하는 것은 아닙니다. 이메일, 메시지 또는 신뢰할 수 없는 웹사이트를 통해 받은 링크를 통해 앱을 다운로드하면 감염 위험이 크게 증가합니다.
또 다른 핵심 부분은 각 애플리케이션이 요청하는 권한을 주의 깊게 살펴보세요.키체인, 사용자 문서, 브라우저 기록 또는 접근성 기능에 대한 접근 권한은 특히 출처가 불분명한 무료 유틸리티를 사용할 때는 신중하게 부여해야 합니다. 많은 악성 프로그램이 바로 이러한 점을 악용합니다. 사용자가 검토 없이 직접 수락한 과도한 권한.
전문적인 환경, 특히 유럽 연합 내에서는 Apple의 보안 조치를 보완하기 위해 다음과 같은 조치를 취하는 것이 좋습니다. macOS 전용 보안 솔루션EDR 도구와 명확한 소프트웨어 다운로드 및 설치 정책은 필수적입니다. 이러한 조치는 특히 데이터 보호 규정을 준수해야 하는 기업에게 중요합니다. 자격 증명 도용이나 정보 유출 사고는 벌금 부과 및 신뢰도 하락으로 이어질 수 있기 때문입니다.
MacSync Stealer를 둘러싼 모든 것은 그 심각성을 보여줍니다. 맥 악성코드는 더 이상 드문 일이 아닙니다.공격자들은 서명 및 공증된 실행 파일을 사용하고, 디스크 이미지에 미끼 파일을 삽입하여 용량을 늘리고, 원격 서버에서 2단계 페이로드를 다운로드하고, 데이터를 탈취하고 컴퓨터를 원격으로 제어할 수 있는 에이전트를 배포합니다. 이러한 상황에서 "Mac은 바이러스로부터 안전하다"는 기존의 생각은 확실히 시대에 뒤떨어졌으며, 이제는 Apple의 기본 보안 기능과 함께 다른 보안 조치를 결합하는 것이 중요합니다. 올바른 사용 관행 및 지속적인 모니터링 우리 컴퓨터가 전체 시스템에서 가장 취약한 고리가 되는 것을 방지하기 위해서입니다.