MacStealer macOS 악성코드 탐지: 새로운 악성 변종이 iCloud 키체인에서 사용자 자격 증명 탈취

[post-views]
3월 28, 2023 · 3 분 읽기
MacStealer macOS 악성코드 탐지: 새로운 악성 변종이 iCloud 키체인에서 사용자 자격 증명 탈취

주의하세요! 새로운 정보탈취 프로그램이 macOS 사용자를 대상으로 사이버 위협의 장에서 물결을 일으키고 있습니다. 사이버 보안 연구자들은 iCloud 키체인, 웹 브라우저, 암호화 지갑에 저장된 사용자 자격증명 및 기타 민감한 데이터를 훔치는 새로운 MacStealer macOS 멀웨어를 관찰했습니다.

MacStealer MacOS 멀웨어 탐지

최신 한 달 내에 사이버 범죄 현장에 나타난 또 다른 정보탈취 멀웨어로서 MacStealer는 상대적으로 저렴한 가격과 광범위한 악성 기능 때문에 지하 포럼에서 인기를 얻고 있습니다. 새로운 멀웨어 변종에 대한 보안 보호를 강화하려면 보안 실무자들은 개발 초기 단계에서 가능한 공격을 식별할 수 있는 신뢰할 수 있는 탐지 콘텐츠가 필요합니다.

SOC Prime의 Detection as Code 플랫폼은 경험이 풍부한 Threat Bounty 개발자가 제작한 전용 Sigma 규칙을 제공합니다 Mustafa Gurkan KARAKAYA 잠재적인 MacStealer 감염을 탐지합니다.

의심스러운 MacStealer 멀웨어 데이터 유출 웹 트래픽 (프록시를 통해)

위 규칙은 MacStealer 멀웨어가 명령 및 제어 서버와 연관된 것으로 알려진 URI 경로로 zip 파일을 유출하기 위한 POST 요청을 감지합니다. 이 탐지는 18개 SIEM, EDR, XDR 플랫폼과 호환되며 MITRE ATT&CK® 프레임워크 v12 의 Exfiltration 전술을 다루며, 주요 기술로는 C2 채널을 통한 Exfiltration (T1041)를 포함합니다.

Sigma와 ATT&CK 기술을 연마하고 새로운 위협에 맞서 자신을 방어하는 데 도움을 주고자 하는 위협 헌터 및 탐지 엔지니어는 SOC Prime의 Threat Bounty Program에 참여할 수 있습니다. 이 크라우드소싱 이니셔티브에 참여하여 사이버 보안 전문가들은 ATT&CK에 매핑된 자신만의 Sigma 규칙을 작성하고 이를 전 세계 사이버 방어 커뮤니티와 공유하며 기여에 대한 반복 수익을 받을 수 있습니다.

정보탈취 멀웨어 패밀리를 탐지하는 Sigma 규칙 세트를 즉시 확인하려면 아래의 탐지 탐색 버튼을 누르세요. MITRE ATT&CK 참조, 위협 인텔리전스, 실행 가능 바이너리 및 위협 연구를 위한 완화 조치 등을 포함한 종합적인 사이버 위협 컨텍스트를 깊이 파악할 수 있습니다.

탐지 탐색

MacStealer 공격 체인 분석

보안 연구자들은 이 수익 모델을 기반으로 하는 멀웨어-서비스(MaaS) 거래의 증가를 관찰하고 있으며, 위협 행위자들은 적대적 도구 키트를 강화하고 공격 능력을 향상시키고 있습니다. MaaS 수익 모델은 최근 몇 년 동안 힘을 얻어 다양한 멀웨어 변종, 예를 들어 Eternity 멀웨어 and RedLine Stealer.

와 같은 대규모 배포에 기여했습니다. 2023년 3월, MaaS 모델을 사용하여 배포된 또 다른 정보탈취 멀웨어인 MacStealer가 사이버 위협 장에 등장했습니다. MacStealer macOS 멀웨어는 사용자 비밀번호, 쿠키, 인기 웹 브라우저 및 iCloud 키체인 데이터베이스에서 신용 카드 세부 정보를 잡아내며, 민감한 데이터를 훔치기 위해 여러 유형의 파일을 추출할 수 있습니다.

에 따르면 Uptycs 사이버 보안 연구자 는 새로운 멀웨어 변종을 공개하며, MacStealer 정보탈취 멀웨어는 Intel M1 및 M2 CPU에서 실행되는 macOS Catalina 및 후속 버전에 영향을 줄 수 있다고 밝혔습니다.

위협 행위자들은 .dmg 파일을 통해 MacStealer를 배포합니다. 실행되면 사기성 비밀번호 프롬프트를 적용하여 특정 명령줄 작업을 이용하여 사용자 자격증명을 수집합니다. 피해자가 로그인 자격증명을 제공하면 MacStealer는 손상된 데이터를 훔쳐 시스템 디렉토리에 저장합니다. 도난당한 사용자 데이터를 압축한 후 멀웨어는 POST 요청을 사용하여 C2 서버로 데이터를 전송하고 그에 해당하는 ZIP 파일과 함께 데이터를 제거합니다. 또한, 원격 C2 서버는 해커가 손상된 시스템에서 데이터를 유출할 수 있도록 해커가 사용하는 사전 구성된 Telegram 봇과 ZIP 파일을 공유합니다.

Windows, Linux, macOS 사용자를 대상으로 하는 MaaS 배포 멀웨어 변종의 증가와 함께, 사이버 방어자들은 여러 보안 솔루션에 즉시 제공되고 적용 가능한 관련 탐지 콘텐츠를 찾고 있습니다. SOC Prime의 플랫폼에 구애받지 않고 멀티 클라우드 접근 방식은 보안 팀이 Uncoder AI를 활용하여 개발 시간을 줄이고 마이그레이션 비용을 최적화할 수 있도록 합니다. AI 지원 고급 탐지 엔지니어링 도구를 사용하여 즉시 무결한 탐지 코드를 작성하고 27개 이상의 SIEM, EDR, XDR 솔루션으로 변환하세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko Noodlophile Stealer 탐지: 가짜 AI 비디오 생성 도구를 통해 배포되는 새로운 멀웨어 3 분 읽기 최신 위협 Noodlophile Stealer 탐지: 가짜 AI 비디오 생성 도구를 통해 배포되는 새로운 멀웨어 by Veronika Telychko
모든 뉴스