PamStealer: 클립보드 관리자로 위장한 새로운 macOS 악성 프로그램이 사용자 자격 증명을 노립니다.
macOS용 악성 프로그램인 PamStealer에 대해 알아보세요. 이 프로그램은 macOS 클립보드 관리자로 위장하여 암호와 암호화 키를 훔칩니다. 작동 방식과 예방 방법을 확인해 보세요.

정교한 macOS 정보 탈취 악성코드의 등장
수년간 Mac 사용자들은 Windows 사용자들에 비해 상대적으로 안전하다고 여겨져 왔습니다. 그러나 사이버 범죄자들이 더욱 정교하고 표적화된 도구를 개발함에 따라 이러한 격차는 빠르게 좁혀지고 있습니다. Jamf의 보안 연구원들이 발견한 최신 위협은 PamStealer라는 악성코드입니다. 이 정보 탈취 악성코드는 소셜 엔지니어링과 macOS 시스템 도구를 교묘하게 결합하여 보안 경고를 우회하고 민감한 로그인 정보를 수집합니다.
PamStealer가 사용자를 속이는 방법
PamStealer는 노골적인 바이러스 형태로 나타나는 것이 아니라, Maccy라는 인기 있는 정식 생산성 앱(가벼운 클립보드 관리자)의 위조 버전으로 위장하여 접근합니다. 악성 프로그램은 신뢰할 수 있는 유틸리티를 가장하여 사용자가 사기성 도메인에서 다운로드 및 설치하도록 유도합니다.
2단계 감염 과정
이 악성 프로그램은 기존 안티바이러스 소프트웨어의 탐지를 피하도록 설계된 다단계 실행 체인을 사용합니다.
- 1단계: AppleScript 실행: 악성 프로그램은 디스크 이미지를 통해 침투합니다. 디스크 이미지를 열면 사용자는 AppleScript를 실행하라는 메시지를 받습니다. 이 방법을 사용하여 PamStealer는 일반적으로 인터넷에서 다운로드한 실행 파일을 차단하고 제한하는 macOS의 기본 보안 기능인
com.apple.quarantine을 성공적으로 우회합니다. - 2단계: Rust 기반 페이로드: 스크립트가 활성화되면 JXA(JavaScript for Automation) 다운로더를 사용하여 2단계 페이로드를 다운로드합니다. 이 페이로드는 Rust로 작성된 Mach-O 파일로, 특히 Apple M 시리즈 CPU에 최적화되어 있습니다. Rust를 사용한다는 점은 일반적인 macOS 스틸러에서 흔하지 않은 특징이므로 특히 주목할 만하며, 이로 인해 일부 보안 도구가 악성코드를 탐지하기 어렵습니다.
PAM을 통한 자격 증명 탈취
PamStealer가 일반적인 악성코드와 다른 점은 플러그형 인증 모듈(PAM) 인터페이스를 사용한다는 것입니다. curl이나 zsh와 같이 보안 경고를 유발하는 명확한 셸 명령어를 사용하는 대신, PamStealer는 macOS에서 흔히 볼 수 있는 것처럼 보이는 암호 입력 창을 표시합니다.
일반적으로 다음과 같은 메시지가 표시됩니다. "Maccy가 변경을 시도합니다. 허용하려면 암호를 입력하십시오." 의심하지 않는 사용자가 관리자 암호를 입력하면 악성코드는 PAM API를 통해 로컬에서 자격 증명을 검증합니다. 이를 통해 공격자는 디스크 전체에 대한 접근 권한을 얻거나 이더리움 암호화폐 계정과 같은 특정 자산을 대상으로 악성 코드를 삽입할 수 있습니다.
PamStealer로부터 Mac을 보호하는 방법
macOS에는 XProtect와 같은 내장 방어 기능이 있지만, 사람의 실수로 인한 보안 문제가 여전히 가장 큰 취약점입니다. 기기를 안전하게 보호하기 위한 모범 사례는 다음과 같습니다.
1. 소프트웨어 출처 확인
항상 공식 웹사이트에서 소프트웨어를 다운로드하세요. Maccy의 경우, 유일하게 합법적인 사이트는 maccy.app입니다. maccyapp.com과 같이 악성코드를 호스팅하는 데 사용된 유사한 URL에 주의하세요.
2. App Store 우선 사용
가능한 한 Apple App Store에서 직접 애플리케이션을 다운로드하세요.
Apple은 앱을 등록하기 전에 검증하기 때문에 웹에서 임의의 .dmg 파일을 다운로드하는 것에 비해 정보 탈취 악성 프로그램을 설치할 위험이 크게 줄어듭니다.3. 예상치 못한 암호 입력 요청에 주의하세요
방금 설치한 애플리케이션이 명확한 이유 없이 갑자기 "변경"을 위해 관리자 암호를 요구하는 경우, 설치를 중단하고 조사하십시오. 일반적으로 고품질 소프트웨어는 관리자 권한이 필요한 이유를 정확하게 설명합니다.
4. 다중 보안 시스템을 사용하세요
XProtect는 훌륭한 기본 보안 도구이지만, 평판이 좋은 타사 안티바이러스 솔루션을 함께 사용하면 PamStealer와 같은 "제로데이" 위협이 실행되기 전에 탐지하는 추가적인 휴리스틱 분석 기능을 제공할 수 있습니다.