[데일리시큐]아토믹 맥OS 스틸러, 백도어 기능 추가…감염 후 장기적 시스템 장악 가능해

내용 요약

Atomic macOS Stealer가 단순 정보 탈취 악성코드에서 지속적인 시스템 접근이 가능한 백도어를 탑재한 악성코드로 진화했습니다. Moonlock 연구소는 이 새로운 변종이 감염된 시스템에 대한 원격 제어 기능을 추가하여 장기간 정보를 탈취하고 추가 공격을 수행할 수 있다는 것을 발견했습니다. 초기 변종은 브라우저 저장 비밀번호, macOS Keychain, 가상자산 지갑 정보 등을 탈취하는 데 중점을 두었지만, 최신 변종은 백도어를 통해 공격자가 지속적으로 시스템에 접근하고 제어할 수 있도록 합니다.

핵심 포인트

• Atomic macOS Stealer에 백도어 기능이 추가되어 장기적인 시스템 접근 및 원격 제어가 가능해짐.
• 단순 정보 탈취 악성코드에서 지속적인 공격이 가능한 형태로 진화.
• 감염 시 사용자 정보 탈취뿐 아니라 추가 악성 행위 가능성 증가.
• macOS 사용자의 보안 위협 증가.

기술 세부 내용

1️⃣ Atomic macOS Stealer

• Atomic macOS Stealer는 macOS를 대상으로 하는 정보 탈취 악성코드입니다.
• 초기 버전은 사용자의 웹 브라우저에 저장된 비밀번호, macOS Keychain에 저장된 계정 정보, 가상자산 지갑 정보 등을 탈취하는 기능을 가지고 있었습니다.
• Telegram을 통해 유출된 데이터를 공격자에게 전송합니다.

2️⃣ 백도어(Backdoor)

• 이번에 발견된 Atomic macOS Stealer의 새로운 변종에는 백도어가 추가되었습니다. 백도어는 시스템에 숨겨진 통로를 만들어 공격자가 권한 없이 시스템에 접근하고 제어할 수 있도록 하는 악성 프로그램입니다.
• 이 백도어를 통해 공격자는 감염된 macOS 시스템에 지속적으로 접근하여 정보를 탈취하거나 추가적인 악성 행위를 수행할 수 있습니다.
• 원격으로 시스템을 제어할 수 있기 때문에, 공격자는 사용자 모르게 파일을 다운로드/업로드하거나, 시스템 설정을 변경하거나, 다른 악성코드를 설치할 수 있습니다.

3️⃣ macOS Keychain

• macOS Keychain은 macOS에서 사용자의 비밀번호, 인증서, 개인 키 등의 중요한 정보를 안전하게 저장하는 시스템입니다.
• Atomic macOS Stealer는 Keychain에 저장된 정보에 접근하여 사용자 계정 정보를 탈취할 수 있습니다.
• 이를 통해 공격자는 사용자의 다양한 온라인 계정에 접근할 수 있게 됩니다.

4️⃣ Telegram

• Atomic macOS Stealer는 탈취한 정보를 Telegram 메신저를 통해 공격자에게 전송합니다.
• Telegram은 보안성이 강조된 메신저로 알려져 있지만, 악성코드 제작자들은 이를 악용하여 탈취한 데이터를 은밀하게 전송하는 용도로 사용하고 있습니다.

5️⃣ 지속적인 시스템 접근

• 백도어를 통해 공격자는 감염된 시스템에 지속적으로 접근할 수 있습니다.
• 이는 일회성 정보 탈취를 넘어 장기간에 걸쳐 사용자를 감시하고 정보를 탈취하거나 시스템을 조작할 수 있음을 의미합니다.
• 또한, 새로운 악성코드를 추가로 설치하거나 시스템을 봇넷의 일부로 사용하는 등 더욱 심각한 공격을 수행할 수도 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167756