최근 macOS를 대상으로 한 ClickFix 캠페인이 발견되었으며, 이 캠페인은 사용자가 터미널에 명령어를 입력하도록 유도하여 악성 DMG 파일을 다운로드, 마운트, 실행하는 방식으로 Atomic macOS Stealer(AMOS) 정보 탈취 악성코드를 배포한다. Palo Alto Networks Unit 42 연구진에 따르면, 공격은 가짜 CAPTCHA 페이지를 통해 사용자가 터미널에 명령어를 붙여넣도록 유도하는 사회공학적 기법을 사용한다.
해당 명령어는 공격자 서버에서 DMG 파일을 조용히 다운로드하고, macOS의 hdiutil 유틸리티로 마운트한 뒤, 포함된 애플리케이션 번들을 자동으로 실행한다. 이 과정에서 악성코드는 브라우저 자격 증명, 암호화폐 지갑 데이터, Keychain 정보, 메신저 앱 정보, 사용자 문서 등 다양한 정보를 탈취한다. 특히, 이 악성코드는 Google Chrome, Microsoft Edge, Brave, Opera 등 8종의 Chromium 기반 브라우저와 Firefox 계열 브라우저, 다양한 암호화폐 지갑, Telegram, Discord, Apple Notes, Safari 쿠키, Keychain 데이터베이스, PDF/TXT/RTF 문서까지 광범위하게 정보를 수집한다.
탈취된 데이터는 ZIP 파일로 압축되어 공격자 서버로 전송되며, 악성코드는 Ledger Live, Trezor Suite 등 암호화폐 지갑 프로그램을 악성 버전으로 교체해 추가 피해를 유발할 수 있다. 연구진은 사용자가 웹사이트에서 터미널 명령어 실행을 요구받을 경우, 특히 CAPTCHA 인증이나 브라우저 오류 해결 등 명목으로 안내될 때 각별한 주의를 당부했다.
요약
- ClickFix 캠페인은 터미널 명령어를 이용해 macOS에 정보 탈취 악성코드를 배포한다.
- 공격자는 가짜 CAPTCHA 페이지로 사용자를 속여 명령어를 입력하게 한다.
- 명령어 실행 시 DMG 파일이 다운로드되어 자동으로 마운트 및 실행된다.
- 악성코드는 브라우저, 암호화폐 지갑, 메신저, 문서 등 다양한 정보를 탈취한다.
- 사용자는 출처가 불분명한 터미널 명령어 실행을 절대 삼가야 한다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.