macOS용 인기 클립보드 관리자인 Maccy의 가짜 버전이 PamStealer라는 새로 발견된 Mac 악성 코드 변종을 전달하는 데 사용되고 있습니다. Jamf 연구원들은 이 악성 코드가 실제 오픈 소스 앱을 가장하지만 실제 목적은 데이터를 훔치고 피해자의 로그인 비밀번호를 캡처하는 것이라고 말했습니다.
PamStealer는 Maccy를 가장하는 AppleScript 파일이 포함된 디스크 이미지로 제공됩니다. 사용자가 해당 파일을 열면 macOS는 해당 파일을 스크립트 편집기에서 실행합니다. 여기서 화면 지침에 따라 Command-R을 누르라는 메시지가 표시됩니다. 일반적인 앱 설치 프로그램을 기대하는 사람에게는 이는 이상한 설정 단계처럼 보일 수 있습니다. 실제로 해당 작업은 숨겨진 악성 코드를 실행하고 공격을 시작합니다.

가짜 설치 프로그램이 공격을 시작합니다
공격의 첫 번째 부분은 조용하게 유지되도록 설계되었습니다. 연구원들은 보안팀이 자주 관찰하는 일반적인 Mac 명령줄 도구를 사용하는 대신, 악성코드가 Apple의 자체 자동화 기능을 사용하여 다음 단계를 다운로드하고 실행한다고 밝혔습니다.
그런 다음 페이로드는 실제 macOS 구성 요소인 것처럼 가장하는 앱 번들 내부에 숨겨집니다. Jamf는 Finder 또는 소프트웨어 업데이트로 위장한 샘플을 발견했습니다. 이러한 가짜 구성 요소는 백그라운드에서 실행되며 Apple의 Finder 아이콘을 사용하므로 공격이 더욱 설득력이 있습니다.

비밀번호 프롬프트는 진짜 위험입니다
PamStealer의 가장 걱정스러운 트릭은 비밀번호 프롬프트입니다. 이 악성코드는 Maccy가 변경을 원한다고 말하고 사용자에게 비밀번호를 입력하라고 요청하는 기본 Mac 대화 상자를 표시합니다. 비밀번호는 macOS 자체 로그인 확인 시스템을 통해 확인됩니다. 틀리면 프롬프트가 다시 나타납니다. 올바른 비밀번호를 입력하면 악성코드는 비밀번호를 캡처하고 Maccy가 손상되어 열 수 없다는 가짜 메시지를 표시합니다.
연구원들은 또한 PamStealer가 클립보드를 볼 수 있고 로그인 후 다시 실행되도록 등록하고 나중에 전체 디스크 액세스를 요청할 수 있다는 것을 발견했습니다. 테스트에서 해당 메시지는 때때로 최대 40분 후에 표시되어 요청을 가짜 설치 프로그램에 연결하기가 더 어려워졌습니다.
Maccy의 공식 채널은 이제 사용자에게 가짜 웹사이트에 대해 경고하는 동시에 앱을 다운로드할 수 있는 유일한 합법적인 장소인 maccy.app을 안내하고 있습니다.
관련 정보는 아래 링크에서 확인하세요