크랙 프로그램으로 위장하여 유포되는 Atomic Stealer 악성코드 (macOS 환경 대상)

AhnLab SEcurity intelligence Center(ASEC)은 Evernote Crack 프로그램으로 위장하여 유포되는 Atomic Stealer 악성코드를 발견했다. Atomic Stealer 악성코드는 mac OS 기반의 정보 탈취형 악성코드로 브라우저, 시스템 키체인, 지갑, 시스템 정보를 탈취하며, 주로 pkg, dmg와 같은 설치 파일을 통해 유포된다.

 

악성코드를 유포하는 사이트에 접속하면, 크랙 설치 파일 다운로드를 유도하는 화면을 확인할 수 있다. 해당 사이트는 피해자 시스템 접속 환경에 대한 브라우저 UserAgent를 확인하여, mac OS의 UserAgent 경우에 Atomic Stealer 설치 페이지로 리다이렉트하고, Windows OS의 UserAgent이면 LummaC2 악성코드 설치 페이지로 리다이렉트된다.

[그림 1] 악성코드 유포 사이트

 

mac OS 환경일 경우, 공격자는 설치 파일을 통해 악성코드를 유포하기 이전에 페이지에 나와있는 커맨드를 복사하여 이용자로 하여금 터미널에서 직접 실행하도록 유도한다. 실행되는 쉘 스크립트는 Atomic Stealer를 다운로드 및 실행한다. 이와 같은 방식으로 악성코드를 유포하는 이유는 외부에서 다운로드한 파일이 실행될 때 발생하는 GateKeeper 팝업을 우회하기 위한 것으로 추정된다.

[그림 2] 악성코드를 설치하는 install.sh

 

이밖에도 dmg 형태로 패키징되어 유포되는 파일은 실행 시, Installer 파일을 우클릭 후, 열기 버튼 클릭을 안내하여 악성코드 실행을 유도한다.

[그림 3] dmg 파일 실행 화면

 

Atomic Stealer는 “system_profiler” 와 “SPMemoryDataType” 명령어를 통해 시스템 정보를 수집한 뒤, 메타 데이터에 “QEMU” 혹은 “VMware” 문자열을 확인하여 가상 환경에서 파일 실행을 방지한다.

[그림 4] 가상 환경 확인 로직

 

Atomic Stealer는 정상 프로그램으로 위장한 경고창을 표시하여 시스템 패스워드를 요청한다. 사용자가 패스워드를 입력하면, “dscl . authonly” 명령어를 사용하여 입력된 패스워드의 유효성을 확인하고 저장한다.

[그림 5] 패스워드 수집

[그림 6] 시스템 비밀번호를 요구하는 경고창

 

Atomic Stealer는 [그림 5]와 같이 OSA Script를 통해 AppleScript를 실행하여, 정보 유출 대상이 되는 파일을 탐색하고 수집한다. 최종적으로 “/tmp 경로”에 하위 디렉토리를 생성하여, 수집한 브라우저, 시스템, Note, 키체인, 텔레그램, 암호화폐 지갑 정보등을 수집하고 “ditto” 명령어를 통해 “out.zip” 파일로 압축한다. 압축된 사용자 정보는 “curl” 명령어를 통한 POST 요청으로 공격자 서버로 전송되고, 자가삭제된다.

[그림 7] C2서버로 정보 유출

 

Atomic Stealer는 위에 언급한 것 처럼 크랙을 위장한 프로그램으로 유포되거나, Google 광고 플랫폼을 통해 악성코드를 호스팅하는 웹사이트로 리다이렉션하여 유포되기도 한다. 따라서, 사용자는 출처가 불분명한 사이트에서 다운로드되는 프로그램 사용을 주의하고, 공식 소프트웨어 배포 사이트를 사용해야한다. 

 

 

MD5

774d14a4fc61176aaefb94468b513289

bf9b98fce3c2fefdacdff234837e621b

e0030c7976f1d90fd38e4e898e9957e8

URL

http[:]//192[.]124[.]178[.]88/contact

https[:]//webzal[.]com/get/update