FrigidStealer 악성코드, 가짜 브라우저 업데이트를 이용한 macOS 사용자 공격

New FrigidStealer Malware Targets macOS Users via Fake Browser Updates

 

• 개요
  • FrigidStealer는 macOS 사용자를 대상으로 한 정보 탈취 악성코드
  • 가짜 브라우저 업데이트 페이지를 통해 감염 유도
  • TA2727 위협 그룹이 유포하며, Windows 및 Android 사용자를 대상으로 한 Lumma Stealer, DeerStealer, Marcher 등의 악성코드와 연계
• 주요 공격 방식
  • 웹사이트 침해 및 악성 스크립트 삽입
    • 합법적인 웹사이트를 침해하여 악성 JavaScript 주입
    • 사용자가 방문하면 가짜 브라우저 업데이트 창을 띄워 악성코드 다운로드 유도
  • 지리적 위치 및 기기 유형 기반 맞춤형 공격
    • Windows 사용자는 MSI 파일을 다운로드하여 Hijack Loader(DOILoader) → Lumma Stealer 감염
    • Android 사용자는 Marcher 은행 악성코드 감염
    • macOS 사용자는 FrigidStealer에 감염
• FrigidStealer의 동작 방식
  • Gatekeeper 우회
    • 사용자가 Gatekeeper 보호를 해제하고 실행하도록 유도
  • 사회공학적 기법 활용
    • Go 언어 기반으로 제작되었으며, WailsIO 프로젝트를 이용하여 Chrome 또는 Safari 업데이트로 위장
  • AppleScript 활용한 사용자 인증정보 탈취
    • 사용자에게 시스템 비밀번호 입력 요청
    • 입력된 비밀번호를 활용하여 웹 브라우저, Apple Notes, 암호화폐 관련 애플리케이션 등에서 민감한 데이터 탈취
• FrigidStealer와 관련된 기타 악성코드
  • Tiny FUD
    • macOS 백도어로 탐지 회피 기능 탑재
    • DYLD(Dynamic Link Daemon) 주입 및 명령제어(C2) 기반 명령 실행
  • Astral Stealer, Flesh Stealer
    • 다양한 플랫폼을 겨냥한 정보 탈취 악성코드
    • Flesh Stealer는 가상 환경(VM) 탐지 기능을 갖추고 있어 보안 연구를 회피하는 특성
• 보안 권고
  • 웹사이트 보안 점검 및 악성 코드 탐지
    • 웹사이트 침해 여부 정기 점검
    • 웹 애플리케이션 방화벽(WAF) 및 콘텐츠 보안 정책(CSP) 적용
  • 브라우저 업데이트 확인 절차 강화
    • 공식 웹사이트에서만 소프트웨어 및 업데이트 다운로드
  • macOS 보안 기능 활성화
    • Gatekeeper 및 XProtect 기능 활성화 유지
    • 알 수 없는 애플리케이션 실행 차단
  • 사용자 보안 인식 교육
    • 가짜 업데이트 경고 및 피싱 탐지 교육 강화
  • 행동 기반 보안 솔루션 도입
    • 악성코드 실행 행위를 분석하여 탐지하는 차세대 보안 솔루션 도입 고려