윈도 생태계에서는 제법 흔하게 보이던 공격 전략이 맥OS에서도 발견됐다. 윈도용 멀웨어가 맥OS용으로 전환되는 사례는 있었지만 가짜 브라우저 업데이트를 활용하는 피싱 전략 자체가 맥OS로 옮겨간 사례는 처음이다.

[보안뉴스 문가용 기자] 대단히 인기가 높았던 소셜엔지니어링 공격 캠페인이 원래는 윈도 시스템만 대상으로 하다가 최근 맥OS 시스템들까지도 공격 대상으로 삼기 시작했다. 이 과정에서 아토믹스틸러(Atomic Stealer)라는 정보 탈취 멀웨어가 가짜 브라우저 업데이트 형태로 퍼지고 있다는 것이 발견됐다. 윈도 생태계에서 악명 높았던 대규모 캠페인이 맥OS로 확대되는 것은 처음 있는 일이라고 전문가들은 말한다.


아토믹스틸러는 아모스(AMOS)라고 불리기도 하는데, 한 텔레그램 채널에서 올해 처음 발견됐다. 사이버 범죄자들은 아토믹스틸러를 대여한 후 다양한 방법으로 이를 퍼트려 여러 정보를 탈취해 왔다. 대여료는 한 달에 약 1천 달러인 것으로 알려져 있다. 주로 인기 높은 앱의 가짜 설치 파일이나 크랙 작업이 완료된 유명 소프트웨어의 형태로 유포됐다. ‘무료 MS 오피스’라고 광고하여 다운로드를 유도한 뒤 이를 받아 설치하려는 사람의 컴퓨터를 감염시켰다는 것이다.

클리어페이크(ClearFake) 캠페인
그런데 이번 주 보안 업체 멀웨어바이츠(Malwarebytes)의 연구원들이 아토믹스틸러가 새로운 방식으로 퍼져나가는 것을 발견했다. 수백 개의 침해된 웹사이트에서 가짜 크롬 및 사파리 브라우저 업데이트 형태로 여기 저기 제공되고 있었던 것이다. 또 다른 보안 전문가 랜디 맥케오인(Randy McEoin)은 지난 8월에 이미 이러한 사이트들을 발견했고, 해당 캠페인에 클리어페이크(ClearFake)라고 이름을 붙여 추적한 바 있다.

클리어페이크 웹사이트에 피해자가 방문할 경우 페이지가 정상적으로 로딩된다. 하지만 프롬프트가 뜨면서 “브라우저 업데이트를 해야 콘텐츠를 볼 수 있다”는 알림이 나온다. 맥OS를 사용하는 피해자가 여기에 응해서 업데이트를 할 경우 아토믹스틸러가 다운로드 된다는 걸 맥케오인은 발견했다.

멀웨어바이츠의 연구원인 제롬 세구라(Jerome Segura)는 “이 캠페인은 윈도 생태계에서 악명이 높았던 것인데, 그게 새로운 OS로까지 확대된 것은 처음 있는 일”이라고 자사 블로그를 통해 밝혔다. “보통 어떤 캠페인이 확대된다고 하면 지역적인 의미를 가지고 있습니다. 유럽에서 유행하던 것이 아시아로도 넘어간다던가 하는 식이죠. 하지만 한 OS에서 다른 OS로 넘어가 범위를 넓히는 건 드문 일입니다. 특히 이렇게나 성공적으로 많은 피해를 안겼던 대단위 캠페인이 말이죠.”

맥OS를 노리는 것이니 만큼 이번에 유포되는 악성 페이로드는 dmg 파일 형태로 만들어져 있다. 또한 어떻게 파일을 열어야 하는지를 설명하는 안내서까지도 동봉되어 있다. 피해자가 안내에 따라 파일을 열면 브라우저 업데이트를 진행한다며 관리자 비밀번호를 입력해야 다음 단계로 진행된다는 프롬프트가 뜬다. 그런 후 피해자의 컴퓨터에서부터 데이터를 훔치는 명령들을 실행한다. 비밀번호 외에 여러 가지 파일들이 밖으로(외부 C&C 서버) 새나가는 것이 확인됐다고 멀웨어바이츠는 알렸다.

스매시 앤 그랩(Smash and Grab)
보안 업체 센티넬원(SentinelOne)의 경우도 아토믹스틸러를 포착해 추적하는 중인데, “비밀번호, 브라우저 데이터, 세션 쿠키, 암호화폐 지갑 정보를 훔칠 수 있는 멀웨어”라는 데까지 밝혀냈다고 한다. “아토믹스틸러 개발자가 개설한 텔레그램 채널을 통해 확인했을 때 현재까지 300명 정도의 구독자가 있는 것으로 보입니다. 아토믹스틸러는 최소 두 가지 버전으로 존재하는 것으로 보이는데, 그 중 하나는 게임 설치 파일 형태로 유포되고 있습니다. 게임을 즐기는 사람들과 암호화폐 투자에 활동적인 사람들을 노리기 위해 제작한 것으로 분석됩니다.”

신기한 건 이 게이머 버전의 아토믹스틸러에 ‘공격 지속성’을 확보하기 위한 기능이 하나도 없었다는 것이다. 그래서 센티넬원은 “공격자들이 한 번 침투해 정보를 빼내고 사라지는 ‘스매시 앤 그랩’ 전략을 구사하는 것”으로 보고 있다.

“가짜 브라우저 업데이트를 통해 멀웨어를 유포하는 건 윈도 생태계에서는 오래된 전략입니다. 하지만 맥OS에서는 이런 식의 공격 캠페인이 발견된 적이 없습니다. 클리어페이크가 최초라고 해도 무방할 겁니다. 이렇게 한 번 물꼬가 트였으니 앞으로 맥OS에서도 여러 피싱 공격 전법이 발견될 수 있을 거라고 봅니다. 최근 정보 탈취 멀웨어의 인기가 공격자들 사이에서 급증하고 있으니 맥OS 생태계에도 영향이 있을 거라고 예측합니다.”

3줄 요약
1. 가짜 브라우저로 둔갑한 아토믹스틸러 멀웨어, 맥OS 생태계로 유포되고 있음.
2. 윈도에서는 유명했던 전략이지만 맥OS에서는 처음 발견됨.
3. 맥OS로 마수 뻗치는 공격자들 점점 늘어날 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>