Poseidon Mac Malware Hiding Within PKG Files to Evade Detections
Poseidon Mac Malware Hiding Within PKG Files to Evade Detections
A recent discovery by cybersecurity researchers has revealed that the Poseidon malware, a macOS-targeting trojan.
gbhackers.com
- Poseidon 악성코드 개요
- Poseidon은 macOS를 타깃으로 한 트로이 목마(Mac Trojan)로, PKG 파일의 사전 설치(preinstall) 스크립트를 활용해 시스템을 감염
- 파일 크기는 207 바이트에 불과하지만, VirusTotal에서도 탐지되지 않는 고도화된 위협
- Malware-as-a-Service (MaaS) 생태계의 일환으로 2024년 중반부터 활동
- 주요 표적
- 브라우저 인증 정보
- 암호화폐 지갑 정보
- 시스템 파일
- 감염 메커니즘: 가짜 사이트부터 터미널 명령어 실행까지
- 감염 초기 단계: 악성 광고(malvertising) 캠페인을 통해 사용자 유입
- 가짜 웹사이트로 사용자를 유도
- 예: DeepSeek, Arc 브라우저 사이트를 가장
- DMG 또는 PKG 파일을 정상 애플리케이션으로 위장하여 다운로드 유도
- 가짜 웹사이트로 사용자를 유도
- macOS GateKeeper 우회 기법 사용
- 사용자가 터미널(Terminal)에서 스크립트를 실행하도록 유도
- 이를 통해 macOS 보안 기능을 우회하고 시스템에 무단 접근
- PKG 파일 내 사전 설치 스크립트
- 설치 중 추가 페이로드(payloads)를 다운로드하거나 악성코드 직접 설치
- 특정 디렉터리(Desktop, Downloads)에서 데이터 탈취
- txt, pdf, docx, 암호화폐 관련 확장자 파일 집중 타깃
- 시스템 정보 수집, Keychain 데이터 접근, Chrome Safe Storage 키 무단 수집 시도
- 감염 초기 단계: 악성 광고(malvertising) 캠페인을 통해 사용자 유입
- 고급 회피(Evasion) 기술
- 인코딩 및 암호화
- Base64 인코딩 및 16진수 문자열을 사용해 페이로드 전달
- 터미널 명령어 조작
"disown","pkill Terminal"명령어를 통해 백그라운드에서 활동을 숨김
- 안티 디버깅(Anti-Debugging)
- 샌드박스 환경 또는 디버깅 도구 감지 시 자체 종료
- 인코딩 및 암호화
- 결론
- 2024년 말 기준 macOS 정보 탈취 악성코드 감염 사례의 70%를 차지
- macOS 대상 악성코드의 정교화를 보여주는 사례
- 사용자 권고 사항
- 출처가 불분명한 소프트웨어 다운로드 자제
- 터미널에서 스크립트 실행 최소화
- 보안 권고
- 강력한 엔드포인트 보호 솔루션 도입
- 정기적인 소프트웨어 업데이트
- Malwarebytes for Mac 등 악성코드 탐지 및 제거 도구 활용
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| LCRYX 랜섬웨어, 시스템 도구 차단 및 고급 은폐 기술로 Windows 시스템 공격 (0) | 2025.03.10 |
|---|---|
| 2025년 새롭게 등장한 랜섬웨어 그룹과 데이터 유출 사이트(DLS) 증가 (0) | 2025.03.10 |
| 새로운 리눅스 악성코드 'Auto-Color', 시스템 원격 제어 허용 (0) | 2025.03.10 |
| Black Basta 랜섬웨어 그룹의 내부 채팅 기록 유출, 내부 갈등과 공격 기법 드러나 (0) | 2025.03.10 |
| 새로운 은닉 배치 스크립트, PowerShell 및 Visual Basic을 사용하여 XWorm 설치 (0) | 2025.03.10 |