* 출처는 안랩입니다.
AhnLab SEcurity intelligence Center(ASEC)은 Evernote Crack 프로그램으로 위장하여 유포되는 Atomic Stealer 악성코드를 발견했다. Atomic Stealer 악성코드는 mac OS 기반의 정보 탈취형 악성코드로 브라우저, 시스템 키체인, 지갑, 시스템 정보를 탈취하며, 주로 pkg, dmg와 같은 설치 파일을 통해 유포된다.
악성코드를 유포하는 사이트에 접속하면, 크랙 설치 파일 다운로드를 유도하는 화면을 확인할 수 있다. 해당 사이트는 피해자 시스템 접속 환경에 대한 브라우저 UserAgent를 확인하여, mac OS의 UserAgent 경우에 Atomic Stealer 설치 페이지로 리다이렉트하고, Windows OS의 UserAgent이면 LummaC2 악성코드 설치 페이지로 리다이렉트된다.
[그림 1] 악성코드 유포 사이트
mac OS 환경일 경우, 공격자는 설치 파일을 통해 악성코드를 유포하기 이전에 페이지에 나와있는 커맨드를 복사하여 이용자로 하여금 터미널에서 직접 실행하도록 유도한다. 실행되는 쉘 스크립트는 Atomic Stealer를 다운로드 및 실행한다. 이와 같은 방식으로 악성코드를 유포하는 이유는 외부에서 다운로드한 파일이 실행될 때 발생하는 GateKeeper 팝업을 우회하기 위한 것으로 추정된다.
[그림 2] 악성코드를 설치하는 install.sh
이밖에도 dmg 형태로 패키징되어 유포되는 파일은 실행 시, Installer 파일을 우클릭 후, 열기 버튼 클릭을 안내하여 악성코드 실행을 유도한다.
[그림 3] dmg 파일 실행 화면
Atomic Stealer는 “system_profiler” 와 “SPMemoryDataType” 명령어를 통해 시스템 정보를 수집한 뒤, 메타 데이터에 “QEMU” 혹은 “VMware” 문자열을 확인하여 가상 환경에서 파일 실행을 방지한다.
[그림 4] 가상 환경 확인 로직
* 전체내용은 아래에서 확인하세요.
완
선
