Reaper 악성코드가 스크립트 편집기를 탈취하여 macOS에서 암호화폐 지갑의 자금을 빼돌립니다

리퍼(Reaper)라는 새로운 유형의 맥 악성 프로그램이 위챗(WeChat)이나 미로(Miro) 같은 앱의 가짜 다운로드 페이지를 통해 확산되고 있습니다. 이 프로그램은 일단 시스템에 침투하면 암호화폐 지갑 데이터와 저장된 브라우저 비밀번호를 훔쳐갑니다.

이는 예전에 사람들이 터미널에 악성 명령어를 입력하도록 유도하던 수법을 더욱 교묘하게 변형한 것입니다. 애플은 최근 macOS 업데이트에서 해당 취약점을 패치했지만, 리퍼는 애플이 제공하는 다른 내장 도구를 이용해 동일한 피해를 입히는 방법을 찾아냈습니다.

스크립트 편집기가 악성코드의 주요 공격 대상으로서 터미널을 대체하고 있습니다

가짜 다운로드 사이트는 AppleScript applescript:// URL을 통해 스크립트 편집기를 실행합니다.

악성 코드는 눈에 보이지 않습니다. 공격자는 ASCII 아트와 공백을 이용하여 이를 숨깁니다. 사용자가 스크립트 편집기에서 재생 버튼을 클릭하면 숨겨진 명령어를 자신도 모르게 실행하게 됩니다.

스크립트 편집기는 모든 Mac 컴퓨터에 사전 설치되어 있습니다. 대부분의 사람들은 바이러스와 관련이 없습니다.

오타를 이용한 도메인 도용과 가짜 애플 업데이트는 신뢰를 구축한다

공격은 잠재적 피해자에게 합법적으로 보이는 가짜 도메인에서 시작됩니다. 보안 연구원들은 mlcrosoft[.]co[.]com을.

스크립트가 실행되면 사기성 애플 보안 업데이트 대화 상자가 나타나 피해자에게 컴퓨터 암호를 입력하라고 요구합니다.

리퍼는 시스템의 키보드 레이아웃을 확인합니다. 키보드가 러시아어로 설정되어 있으면 악성코드가 실행을 멈춥니다. 그렇지 않으면 아토믹 macOS 스틸러(AMOS)를 모방한 데이터 탈취 모듈을 활성화합니다.

암호화폐 지갑, 브라우저, 문서 등이 모두 공격 대상입니다

Reaper는 Ledger Live, Trezor Suite, Exodus를 포함한 데스크톱 암호화폐 애플리케이션을 공격합니다. 이 악성 프로그램은 암호화폐 지갑의 내부 코드를 변조하여 향후 거래를 가로채고 자금을 다른 곳으로 빼돌립니다.

이 악성 프로그램은 크롬, 파이어폭스, 엣지에 저장된dent증명도 수집합니다. 또한 1Password 및 MetaMask와 같은 브라우저 확장 프로그램에서도 데이터를 빼냅니다.

바탕 화면 및 문서 폴더에서 발견된 .docx , .pdf , .xlsx , .wallet 및 .keys 확장자를 가진 파일은 70MB 크기의 ZIP 파일로 압축되어 외부 명령 및 제어 서버로 업로드됩니다.

지속적인 공격을 위해 Reaper는 Google 소프트웨어 업데이트 디렉토리로 위장한 백도어를 설치합니다.

Moonlock의 분석에 따르면, Reaper는 약 두 달 만에 이러한 자동화된 AppleScript 방식을 채택한 세 번째 캠페인입니다.

마이크로소프트의 디펜더 보안 연구팀은 Cryptopolitan 이전에 보도했던.

해당 캠페인들은 ClickFix를 이용한 동일한 수법을 사용하여 터미널 명령어를 통해 AMOS, Macsync, SHub Stealer를 배포했습니다. Cryptopolitan에 따르면, 정품 지갑 앱은 삭제되고 악성 버전으로 조용히 교체되었습니다.

새로운 프로그램을 설치하기 전에 다운로드 링크를 다시 한번 확인하세요. 예기치 않게 팝업창이 떠서 Mac 암호를 요구하면 절대 입력하지 마세요. 좋은 보안 도구는 난독화된 스크립트가 문제를 일으키기 전에 차단해 줍니다. 웹사이트에서 스크립트 편집기를 열라고 하면 즉시 탭을 닫으세요.