자, 또 시작입니다. AMOS Mac 악성코드가 새로운 모습으로 돌아왔습니다. 이번에는 완전히 다른 모습으로 위장했습니다. 이 공격의 배후에 있는 교활한 해커들은 2천만 명이 넘는 사용자를 보유한 인기 화면 녹화 앱인 Loom을 사칭하기로 했습니다.
그런데 놀랍게도, 이들은 구글 광고를 이용해 피해자들을 유인하고 있어, 이 사기 행각이 마치 합법적인 것처럼 보이게 만들고 있습니다. 이들의 계획은 간단합니다. 아무것도 모르는 사용자들이 가짜 웹사이트에서 Loom의 가짜 버전을 다운로드하도록 유도하는 것입니다.
Moonlock Lab의 연구원들은 이 최신 버전이 Ledger Live와 같은 합법적인 암호화폐 지갑 앱까지 복제한다고 보고했습니다. 네, AMOS 스틸러는 이러한 신뢰할 수 있는 앱들을 악성 복제 앱으로 대체하고 있습니다.
일단 맥에 침투하면 끝장입니다. 암호화폐 지갑, 브라우저 데이터, 비밀번호 등 모든 것이 위험에 노출됩니다. "크레이지 이블(Crazy Evil)"이라는 이름으로 추정되는 이 공격 집단은 조직적이며 러시아 사이버 범죄 네트워크와 연계되어 있는 것으로 보입니다.
사람들은 진짜 광고인 줄 알고 클릭했지만, 실제로는 smokecoffeeshop[.]com이라는 수상한 사이트로 연결되었습니다.
그 후 상황은 더욱 기괴해졌습니다. 피해자들은 Loom 웹사이트와 똑같이 생긴 웹사이트에 접속하게 되는데, 이는 함정입니다. 다운로드 버튼을 클릭하는 순간, 맥은 새로운 AMOS 스틸러에 감염됩니다.
이것은 암시장에서 거래되는 정교한 제품입니다. 대여료는 한 달에 최대 3,000달러에 달할 수 있습니다. 왜 이렇게 비쌀까요? 이 제품은 모든 것을 다 하기 때문입니다. 파일을 훔치고, 브라우저 기록을 빼내고,dent정보를 탈취하고, 암호화폐 지갑을 텅 비우는 등 온갖 짓을 다 합니다.
이건 정말 최고급 악성코드입니다, 여러분.
그들은 Figma, TunnelBlick(VPN), Callzy, 심지어 BlackDesertPersonalContractforYouTubepartners[.]dmg라는 이상한 사례까지 다른 앱도 복제했습니다.
Moonlock은 다크 웹에서 Crazy Evil이 이 캠페인과 연관되어 있다는 단서를 발견했습니다. 그들은 AMOS 스틸러를 사용하는 팀에 합류할 사람을 모집하는 광고를 우연히 발견했습니다.
이 광고는 심지어 macOS에서 "Ledger"를 대체할 수 있다고 자랑했는데, 이는 이들이 Loom을 사칭하여 실제 존재하는 AMOS 버전과 동일한 소프트웨어를 배포하고 있음을 확인시켜 줍니다.
추가 조사를 통해 이 문제와 관련된 IP 주소(85[.]28[.]0[.]47)가 발견되었습니다. Moonlock이 이 IP 주소를 악성코드 검사 사이트인 VirusTotal에 입력해 본 결과 93개의 파일이 악성으로 판정되었습니다.
그리고 더 놀라운 사실은, 그 파일들이 러시아 정부 기관과 연관이 있었다는 것입니다. 우연일까요? 그럴 수도 있지만, 아마 아닐 겁니다. 해당 IP 주소의 인터넷 서비스 제공업체(ISP)는 러시아 회사인 Gorodskaya elektronnaya svyaz Ltd, 즉 Gesnet[.]ru로 등록되어 있었습니다.
Gesnet은 대규모 네트워크를 운영하는 것으로 보이지만, 그들에 대한 자세한 정보를 찾기는 쉽지 않을 겁니다. 러시아 ISP 시장은 엄격한 법률 때문에 외부인이 투명성을 확보하기가 거의 불가능할 정도로 불투명 합니다 .
지금으로서는 최고의 방어는 공격입니다. 경계를 늦추지 말고, 의심스러운 광고는 클릭하지 마세요. 그리고 암호화폐를 위해서라도 사용하는 앱들을 꼼꼼히 살펴보세요.
