‘포세이돈’ 맥 스틸러: 구글 광고를 통한 배포

최근 Malwarebyteslabs의 기사에 따르면, 사이버 범죄자가 맥(Mac) 사용자를 타겟으로 한 새로운 스틸러(Stealer) 캠페인을 발견했다고 합니다. 이번 캠페인은 악성 구글 광고를 통해 Arc 브라우저를 미끼로 사용하여 배포되고 있습니다. Arc 브라우저는 최근 인기를 끌고 있으며, 이로 인해 범죄자들이 이를 악용하는 것으로 보입니다.

새로운 스틸러: 포세이돈(Poseidon)

이번에 발견된 맥 스틸러는 기존의 Atomic Stealer(AMOS)와 유사한 기능을 갖추고 있으며, 코드베이스의 상당 부분이 동일합니다. 과거에는 OSX.RodStealer로 추적되었으나, 최근에는 ‘포세이돈’이라는 새로운 이름으로 리브랜딩되었으며, VPN 구성 파일 탈취 기능 등 새로운 기능이 추가되었습니다.

배포 방식

이번 캠페인의 배포 방식은 매우 정교합니다. 악성 구글 광고는 Arc 브라우저를 다운로드할 수 있는 가짜 사이트로 사용자를 유도합니다. 사용자가 광고를 클릭하면 arc-download[.]com이라는 가짜 사이트로 리디렉션되며, 여기서 맥용 Arc 브라우저를 다운로드하도록 유도됩니다. 이 과정에서 다운로드된 DMG 파일은 정상적인 설치 파일처럼 보이지만, 실제로는 악성 코드가 포함되어 있습니다.

악성 코드의 동작

‘포세이돈’ 스틸러는 파일 탈취, 암호 관리자(Bitwarden, KeePassXC) 데이터 탈취, 브라우저 데이터 수집 등 다양한 기능을 제공합니다. 특히, Fortinet과 OpenVPN의 VPN 구성 파일을 탈취하는 새로운 기능도 포함되어 있습니다. 이 스틸러는 수집된 데이터를 특정 IP 주소로 전송하며, 해당 IP 주소에 접근하면 포세이돈의 관리 패널이 나타납니다.

"당신의 궁금증"의 요약

이번 사례는 맥 사용자를 대상으로 한 악성 코드가 지속적으로 개발되고 있음을 보여줍니다. 사이버 범죄자들은 자신들의 악성 코드를 더 많은 잠재 고객에게 홍보하고, 안티바이러스 소프트웨어에 탐지되지 않도록 만드는 데 주력하고 있습니다. 사용자가 새로운 애플리케이션을 다운로드하고 설치할 때 항상 경계해야 하는 이유입니다.

 

Malwarebytes는 이번 포세이돈 캠페인을 OSX.RodStealer로 계속 탐지하고 있으며, 구글과 악성 광고 관련 정보를 공유했습니다. 웹 보호 기능을 사용하여 악성 광고와 사이트를 차단하는 것이 첫 번째 방어선이 될 수 있습니다. Malwarebytes Browser Guard는 이러한 보호 기능을 효과적으로 제공합니다. 사용자들은 다운로드 및 설치 과정에서 더욱 주의를 기울여야 하며, 신뢰할 수 있는 보안 소프트웨어를 사용하는 것이 필수적입니다.

 

 

https://www.malwarebytes.com/blog/news/2024/06/poseidon-mac-stealer-distributed-via-google-ads

'Poseidon' Mac stealer distributed via Google ads | Malwarebytes