최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- MacSync Stealer는 ClickFix 변종에서 기존 macOS 보안 조치를 우회할 수 있는 더욱 정교한 코드 서명 악성코드로 진화했습니다.
- 이 악성 프로그램은 사용자 모르게 악성 코드를 다운로드하고 실행하여 macOS 사용자에게 상당한 위협을 가합니다.
- 악성 페이로드를 배포하는 데 사용된 개발자 팀 ID가 Apple에 신고되었습니다.
Jamf Threat Labs는 자체 개발한 YARA 규칙의 탐지 결과를 검토하던 중, 과거에 흔히 볼 수 있었던 실행 경로를 따르지 않는 서명 및 공증된 스틸러를 발견했다고 밝혔습니다.
Slowmist의 23pds 에 따르면 , 이 스틸러는 macOS 보안을 우회하는 것으로 유명한 MacSync 변종의 새로운 변종입니다.
Slowmist는 사용자 정보가 이미 도난당했다고 주장합니다
X 포럼의 게시물에서 Slowmist의 최고 정보 보안 책임자인 23pds는 macOS의 보안 시스템인 게이트키퍼를 우회하는 새로운 변종 MacSync가 등장했으며, 이미 많은 사용자의 정보를 탈취했다고 주장했습니다.
23pds에 따르면, 이 변종은 탐지를 피하기 위해 파일 크기 확대, 네트워크 연결 검증, 실행 후 자체 파괴 스크립트 등의 기술을 사용합니다. 이 변종은 iCloud 키체인, 브라우저 비밀번호, 암호화폐 지갑과 같은 민감한 데이터를 탈취할 수 있는 것으로 알려져 있습니다.
해당 경고는 Jamf Threat Labs의 블로그 게시물에 첨부되었으며, MacSync와의 공격이 이번이 처음이 아니라고 밝혔습니다.
macOS를 표적으로 삼는 정보 탈취 악성코드는 2025년 4월 "Mac.C"라는 이름으로 처음 등장했으며, "Mentalpositive"라는 이름의 공격자가 개발한 것으로 알려져 있습니다. 이후 얼마 지나지 않아 MacSync로 이름이 바뀌었고, 사이버 범죄자들 사이에서 빠르게 trac되었습니다.
이를 방지하려면 Mac App Store 또는 신뢰할 수 있는 개발자 웹사이트에서만 앱을 다운로드하고, macOS와 앱을 최신 상태로 유지하며, macOS 위협을 탐지하는 평판이 좋은 바이러스 백신/엔드포인트 보안 도구를 사용하고, 특히 암호화 관련 도구나 메시징 도구를 제공한다고 주장하는 예상치 못한 .dmg 파일이나 설치 프로그램에 주의하십시오.
새로운 MacSync 악성코드가 있나요?
문제의 샘플은 최근 활동이 증가하고 있는 MacSync Stealer 악성코드의 이전 변종들과 매우 유사해 보였지만, 디자인이 새롭게 변경된 것으로 알려졌습니다. 이전 MacSync Stealer 변종들은 주로 터미널로 드래그하거나 ClickFix와 같은 방식을 사용했지만, 이 샘플은 더욱 은밀하고 간접적인 접근 방식을 채택했습니다.
해당 샘플은 zk-call-messenger-installer-3.9.2-lts.dmg라는 디스크 이미지 내에 코드 서명 및 공증을 거친 Swift 애플리케이션 형태로 제공되며 , https://zkcall.net/download를 통해 배포된다고 합니다
이렇게 하면 터미널과의 직접적인 상호 작용이 필요 없어집니다. 대신, 드로퍼는 원격 서버에서 인코딩된 스크립트를 가져와 Swift로 빌드된 헬퍼 실행 파일을 통해 실행합니다
Jamf Threat Labs는 최근 변종에서 Odyssey 정보 탈취 프로그램이 유사한 배포 방식을 채택하고 있음을 확인했습니다. 그들은 실행 파일이 서명되어 있어 마우스 오른쪽 버튼을 클릭하여 열 필요가 없음에도 불구하고, 새로운 샘플에서도 여전히 해당 명령어가 포함되어 있는 것에 놀라움을 표했습니다.
"범용 빌드인 Mach-O 바이너리를 검사한 결과, 코드 서명과 공증이 모두 완료된 것을 확인했습니다. 서명은 개발자 팀 ID인 GNJLS3UYZ4와 연결되어 있습니다."라고 그들은 주장했습니다.
그들은 코드 디렉토리 해시값을 애플의 사용권 취소 목록과 대조하여 확인했으며, 분석 당시에는 사용권이 취소된 것은 없다고 밝혔습니다.
또 하나 주목할 만한 점은 디스크 이미지 크기가 비정상적으로 크다는 것(25.5MB)인데, 이는 앱 번들 내에 삽입된 미끼 파일 때문에 부풀려진 것으로 보인다고 합니다.
분석 당시 VirusTotal에 업로드된 샘플 중 일부는 하나의 안티바이러스 엔진에서만 탐지되었고, 다른 샘플들은 최대 13개의 안티바이러스 엔진에서 탐지되었습니다. Jamf Threat Labs는 해당 개발자 팀 ID가 악성 페이로드를 배포하는 데 사용되었음을 확인한 후 Apple에 보고했습니다. 그 결과, 관련 인증서가 취소되었습니다.
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.tron권장합니다dent .
한나 콜리모어
한나는 암호화폐 분야에서 10년 가까이 블로그를 운영하고 행사를 취재해 온 작가 겸 편집자입니다. Cryptopolitan에서 뉴스 페이지에 기고하며, 탈중앙화 DeFi), 반응형 웹 자산(RWA), 암호화폐 규제, 인공지능(AI) 및 첨단 기술 산업의 최신 동향을 보도하고 분석합니다. 아카디아 대학교에서 경영학 학위를 받았습니다.
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)