Homebrew macOS Users Targeted With Information Stealer Malware
- 개요
- macOS 사용자를 대상으로 한 새로운 멀버타이징(Malvertising) 공격 발견
- Homebrew 패키지 관리자를 위장한 가짜 웹사이트 유포
- 정보 탈취형 악성코드(Information Stealer) "Amos Stealer" 감염 유도
- Google 광고 시스템을 악용하여 신뢰할 수 있는 사이트처럼 보이도록 조작
- 공격 방식
- Google 광고를 활용하여 Homebrew 공식 웹사이트 "brew.sh" 링크 표시
- 사용자가 광고 클릭 시, 유사한 URL "brewe.sh"로 리디렉션
- 가짜 웹사이트에서 Homebrew 설치 명령어(cURL 명령어) 실행 유도
- 사용자가 해당 명령어 실행 시 "Amos Stealer" 악성코드 다운로드 및 감염
- Amos Stealer(Atomic) 악성코드 특징
- 2023년 등장하여 월 1,000달러에 판매된 macOS 전용 정보 탈취 악성코드
- 주요 탈취 대상
- 비밀번호 및 Keychain 정보
- 시스템 정보 및 쿠키
- 암호화폐 지갑 및 결제 카드 정보
- 파일 및 기타 민감한 데이터
- 2023년 말부터 Google 광고를 이용한 멀버타이징 공격 본격화
- 2024년 GitHub 및 가짜 Google Meet 페이지를 활용한 유포 캠페인 포착
- 공격 배경 및 확산
- 최근 몇 년간 Google Ads를 이용한 가짜 웹사이트 유포 기법 지속 활용
- 공격자는 Google 크롤러를 속여 공식 Homebrew URL로 등록되도록 조작
- Google이 문제를 인지하고 악성 광고 삭제 및 관련 광고주 계정 정지
- Google은 향후 탐지 기술 강화 및 악성 광고 신고 요청
- 보안 권고
- 소프트웨어 설치 시 공식 웹사이트(URL)를 반드시 확인
- 출처가 불분명한 명령어(cURL, Bash 스크립트 등) 실행 자제
- Google 광고 클릭 전, 도메인 철자 오류(Fake URL) 확인
- 보안 솔루션을 활용하여 정보 탈취형 악성코드 탐지 및 차단
- 정기적인 macOS 보안 업데이트 및 애플리케이션 검증 수행
- 암호 관리자(Keychain) 보호 및 이중 인증(MFA) 활성화
- 의심스러운 광고 및 웹사이트를 Google에 즉시 신고
- 결론
- Homebrew를 위장한 악성 광고 캠페인이 macOS 사용자를 겨냥한 새로운 위협으로 등장
- 정보 탈취형 악성코드 "Amos Stealer"가 지속적으로 다양한 유포 경로를 활용하고 있음
- 공식 사이트 확인 및 보안 인식 강화가 필수적이며, Google 광고 보안 정책 개선 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 크롬 확장 프로그램을 노린 공급망 공격, 악성 코드 삽입 확인 (0) | 2025.01.31 |
|---|---|
| QakBot 기반 BC 악성코드, 원격 접근 및 데이터 수집 기능 강화 (0) | 2025.01.31 |
| Nnice 랜섬웨어: 고급 암호화 기법을 이용한 Windows 시스템 공격 (0) | 2025.01.31 |
| Morpheus 및 HellCat 랜섬웨어 코드 공유 분석 (0) | 2025.01.31 |
| 가짜 CAPTCHA 캠페인, Lumma Stealer 유포 주의보 (0) | 2025.01.31 |