“ModStealer” 악성 프로그램, 암호화폐 지갑을 대상으로, 안티바이러스 탐지를 회피합니다

ModStealer는 안티바이러스 도구를 피해가며, 가짜 취업 광고를 통해 퍼지고, 암호화폐 지갑의 인증 정보를 훔치는 새로운 크로스 플랫폼 악성 코드입니다.

사이버 보안 회사 Mosyle이 표준 백신 시스템의 감지를 회피하면서 민감한 정보를 도용하는 위험한 새로운 악성 코드를 발견했습니다. 보안 커뮤니티는 거의 한 달 전에 VirusTotal에서 ModStealer 악성 코드를 발견했지만 주요 보안 엔진들에게는 눈에 띄지 않았습니다.

이 연구 결과는 처음으로 9to5Mac에서 자세히 보고되었으며, ModStealer가 여러 운영 체제에서 어떻게 작동하는지를 보여줍니다. 이 맬웨어는 사용자의 데이터를 훔치는 것을 목표로 하는 멀티 플랫폼 도구로 존재합니다. 맬웨어의 배포는 개발자를 대상으로 한 가짜 채용 광고를 통해 이루어집니다.

위장한 NodeJS 자바스크립트 파일은 피해자의 컴퓨터에서 일반적인 안티바이러스 소프트웨어에서 어떠한 알림도 발생시키지 않고 실행됩니다.

이 악성 소프트웨어의 주요 타겟은 개인 정보입니다. 연구자들은 암호화폐 지갑, 로그인 자격증명, 구성 세부 정보, 그리고 인증서를 대상으로 하는 프로그래밍 코드를 발견했습니다.

이 악성 소프트웨어에는 사파리를 포함한 56개의 브라우저 지갑 확장에 대한 사전 프로그래밍된 공격이 포함되어 있어, 해커들이 개인 키와 계정 정보를 훔칠 수 있게 합니다.

ModStealer는 클립보드 캡처, 화면 캡처, 심지어 원격 코드 실행까지 가능합니다. “첫 두 가지는 나쁘지만, 후자는 공격자에게 거의 완전한 제어 권한을 부여할 수 있습니다.”라고 Mosyle이 설명했으며, 이는 9to5Mac에서 보도했습니다.

macOS에서는 이 악성 코드가 애플의 launchctl 도구를 사용하여 자신을 LaunchAgent로서 첨부하므로, 감염된 기기에 지속성을 부여합니다. 이 악성 코드는 익명 모드로 동작하여 시스템 데이터를 수집하고, 이를 독일 기반 인프라에 연결된 핀란드 서버로 전송합니다. 이런 방식으로 공격자의 실제 위치를 숨깁니다.

9to5Mac은 Mosyle이 ModStealer가 성장하는 맬웨어-서비스(Malware-as-a-Service) 시장의 일부라고 믿는다고 보도했습니다. 이 시장에서 전문 해커들이 덜 숙련된 범죄자들에게 준비된 맬웨어를 판매합니다.

“보안 전문가, 개발자, 최종 사용자 모두에게 이것은 서명 기반 보호만으로는 충분하지 않다는 명확한 경고입니다.”라고 Mosyle이 경고하였으며, 이는 9to5Mac에 의해 보도되었습니다.