이 새로운 Mac 악성 코드는 귀하가 비밀번호를 알려줄 때까지 컴퓨터를 사용할 수 없게 합니다.

새로 발견된 macOS 악성 코드 변종은 사회 공학을 불안한 새로운 수준으로 끌어올리고 있습니다. 소프트웨어 취약점을 악용하거나 백그라운드에서 조용히 정보를 훔치는 대신, 사용자가 로그인 비밀번호를 입력할 때까지 Mac 사용을 거부합니다.

ClickLock이라고 명명된 이 악성 코드는 주요 macOS 프로세스를 반복적으로 종료하고, 알림을 비활성화하고, 설득력 있는 Apple 비밀번호 프롬프트를 표시하고, 올바른 비밀번호를 입력해야만 종료되는 루프에 사용자를 효과적으로 가두어 놓습니다. 그런 일이 발생하면 비밀번호만 훔치는 것이 아닙니다. 브라우저 데이터, 암호화폐 지갑, 저장된 자격 증명, 비밀번호 관리자 등을 추적합니다.

BleepingComputer 보고서에 따르면 Group-IB의 연구원들은 이 악성 코드가 이미 5월 이후 33개국에서 최소 100개 시스템을 감염시켰다고 밝혔습니다. 더욱 걱정스러운 점은 이 바이러스가 6월 VirusTotal에 처음 업로드되었을 때 플랫폼의 보안 엔진 중 어느 것도 이를 악성으로 표시하지 않았다는 것입니다.

ClickLock은 Mac을 해킹하지 않습니다. 그것은 당신을 해킹합니다.

제로데이 익스플로잇이나 권한 상승 취약점에 의존하는 많은 최신 맬웨어 캠페인과 달리 ClickLock은 심리적 압박을 통해 성공합니다. 감염은 Cloudflare의 “사람 확인” 검사를 완료하는 것처럼 가장하여 사용자를 속여 명령을 복사하여 터미널에 붙여넣는 ClickFix 스타일 공격으로 시작되는 것으로 보입니다. 가짜 확인 진행 표시줄이 피해자의 주의를 산만하게 하는 동안 악성코드는 백그라운드에서 조용히 페이로드를 다운로드합니다.

동시에 키보드 인터럽트를 비활성화하고, 터미널 커서를 숨기고, macOS 알림 센터 경고를 거의 6시간 동안 억제하여 피해자가 의심스러운 일이 일어나고 있다는 것을 훨씬 더 어렵게 만듭니다.

악성 코드의 가장 충격적인 기능은 그 다음입니다. 사용자의 실제 계정 이름과 Apple 브랜드가 포함된 합법적인 macOS 비밀번호 대화 상자로 보이는 내용이 표시됩니다. 피해자가 올바른 시스템 비밀번호를 입력하면 ClickLock은 즉시 이를 검증하고 텔레그램을 통해 공격자에게 자격 증명을 보냅니다.

사용자가 거부하더라도 악성코드는 포기하지 않습니다. 대신, 다음 로그인 후에 다시 활성화되는 지속성 메커니즘을 설치합니다. ClickLock이 실행되면 Finder, Dock, 터미널, 활동 모니터, 콘솔, 시스템 설정, 스포트라이트 및 널리 사용되는 웹 브라우저를 포함하여 중요한 macOS 프로세스를 210밀리초마다 종료하기 시작합니다.

그 결과 Mac은 거의 완전히 사용할 수 없게 되어 화면에 암호 프롬프트만 표시됩니다. Group-IB에 따르면 이 루프는 83시간 이상 또는 피해자가 최종적으로 항복할 때까지 계속될 수 있습니다.

그것은 당신의 비밀번호보다 훨씬 더 많은 것을 원합니다

로그인 비밀번호는 시작에 불과합니다. ClickLock은 또한 피해자를 속여 Chrome의 안전 저장소 키에 권한을 부여하는 정품 키체인 액세스 프롬프트를 승인하도록 시도합니다. 해당 키는 나중에 Chromium 기반 브라우저에서 저장된 비밀번호, 쿠키, 자동 완성 정보를 해독하는 데 사용될 수 있습니다.

악성코드의 데이터 탈취 모듈은 유난히 넓은 네트워크를 구축합니다. Chrome, Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc 및 Chromium의 브라우저 프로필을 대상으로 저장된 비밀번호, 쿠키, 북마크, 브라우징 세션, 로컬 저장소 및 자동 완성 정보를 수집합니다.

암호화폐 사용자는 훨씬 더 큰 위험에 직면해 있습니다. ClickLock은 비트코인, 이더리움 호환 체인, Solana, TRON, TON 및 Stacks를 포함한 주요 블록체인 생태계 전반에서 브라우저 지갑 확장 프로그램, 데스크톱 지갑 파일, 암호화된 지갑 보관소 및 캐시된 지갑 주소를 검색합니다.

또한 모든 것을 ZIP 아카이브로 압축하고 Telegram Bot API를 통해 훔친 데이터를 업로드하기 전에 FileZilla FTP 구성, 셸 기록, 기본 시스템 정보 및 공용 IP 주소를 수집합니다. 공격자가 장기간 액세스를 유지할 수 있도록 ClickLock은 오픈 소스 GSocket 도구의 수정된 버전을 배포하여 감염된 Mac을 원격으로 제어할 수 있는 영구 백도어를 생성합니다. 법의학 증거를 최소화하기 위해 실행 후 자신을 삭제하는 악성 코드의 다른 구성 요소와 달리 이 백도어는 시스템에서 활성 상태로 유지됩니다.

스텔스 기술은 여기서 끝나지 않습니다. 연구원들은 이 악성코드가 손상되었지만 합법적인 웹사이트에 호스팅되어 평판 기반 보안 시스템을 회피하는 데 도움이 된다고 밝혔습니다. 또한 페이로드는 실행 후 스스로 제거되어 흔적이 거의 남지 않습니다. 그럼에도 불구하고 Group-IB는 방어자들이 osascript를 통해 생성된 반복적인 비밀번호 대화 상자, macOS 프로세스의 지속적인 종료, 브라우저 프로필 폴더에 대한 대량 액세스 및 텔레그램에 대한 비정상적인 아웃바운드 연결을 관찰함으로써 여전히 의심스러운 행동을 발견할 수 있다고 말합니다.

그러나 가장 큰 시사점은 놀라울 정도로 간단합니다. 웹사이트에서 터미널을 열고 사용자가 사람임을 증명하는 명령을 붙여넣으라고 요청하는 경우 즉시 페이지를 닫으십시오. Cloudflare를 포함한 합법적인 웹사이트에서는 사람의 확인을 위해 터미널 액세스가 필요하지 않습니다. 그리고 시스템 암호를 반복적으로 요구하면서 갑자기 Mac을 사용할 수 없게 되는 경우, 이에 따르려는 충동을 억제하십시오. 대신 전원 버튼을 사용하여 강제 종료하고 안전 모드에서 다시 시작한 다음 자격 증명을 입력하기 전에 시스템을 조사하십시오. ClickLock의 경우 비밀번호로는 문제가 해결되지 않습니다. 공격자들이 기다리고 있는 것이 바로 이것이다.

관련 정보는 아래 링크에서 확인하세요

공식 정보 바로가기

관련 기사

댓글 남기기