MacSync Stealer: 새로운 macOS 정보 탈취자 경고
블록체인 보안 회사 SlowMist는 “MacSync Stealer” (v1.1.2)라는 이름의 매우 파괴적인 새로운 macOS 정보 탈취자에 대해 경고했습니다. 이 악성코드 캠페인은 Apple 사용자를 특별히 겨냥하여 암호화폐 지갑을 비우고, 매우 민감한 인프라 자격 증명을 유출하고 있습니다.
악의적인 행위자들은 사용자 방어를 우회하기 위해 기만적인 사회 공학 전술을 사용합니다. 이 악성코드는 합법적인 macOS 비밀번호 프롬프트를 모방한 가짜 AppleScript 시스템 대화 상자를 사용하여 사용자의 로그인 자격 증명을 피싱합니다. 피해자가 미끼를 물면, 악성코드는 백그라운드에서 데이터를 조용히 유출합니다.
“MacSync Stealer는 데이터 추출이 완료된 직후에 의심을 불러일으키지 않기 위해 가짜 ‘지원되지 않음’ 오류 메시지를 표시합니다. 이 속임수는 애플리케이션이 단순히 실행되지 못한 것처럼 보이게 만듭니다.”
암호화폐 사용자 외에도 이 악성코드는 브라우저 자격 증명, macOS 시스템 키체인, SSH, AWS 및 Kubernetes(K8s) 자격 증명을 포함한 중요한 인프라 키를 겨냥하고 있습니다.
관련 악성코드 캠페인
이는 고립된 사건이 아닙니다. Bybit의 보안 팀은 최근 Claude Code를 검색하는 macOS 사용자를 겨냥한 악성코드 캠페인을 발견했습니다. 최근 Microsoft Threat Intelligence는 북한의 국가 지원 위협 행위자인 Sapphire Sleet가 주도하는 고도로 표적화된 macOS 캠페인을 폭로했습니다. Sapphire Sleet는 합법적인 macOS 소프트웨어 업데이트를 가장하여 암호화폐 지갑을 탈취하기 위해 고급 사회 공학을 사용합니다.
또한 Windows 중심의 공격 방법이 macOS에 맞게 조정되고 있음을 보여준 “Infinity Stealer” 악성코드도 언급해야 합니다. 이 악성코드는 피해자에게 가짜 CAPTCHA 페이지를 제시하기 위해 “ClickFix” 기술을 사용합니다.
사이버 보안 회사 SOC Prime은 또한 암호 보유자를 포함한 고가치 피해자를 겨냥하여 명시적으로 제작된 상업적으로 배포되는 macOS 정보 탈취자 “MioLab”를 확인했습니다.
