공격자들이 맥OS 플랫폼의 사용자들을 노리기 시작했다. 블록체임 게임을 권하면서 리얼스트라는 정보 탈취 멀웨어를 유포했고, 이를 통해 지갑에 들어있는 모든 자산들을 빼내갔다.
[보안뉴스 문정후 기자] 맥OS 사용자들 중 무료 블록체인 게임을 찾는 사람들은 당분간 좀 더 자신들이 클릭하여 방문하는 사이트에 대해 면밀히 검토해야 할 것이다. 현재 이런 부류의 사람들이 암호화폐를 노리는 공격자들의 주요 표적이 되고 있기 때문이다. 특히 브롤어스(Brawl Earth), 와일드월드(WildWorld), 에볼리온(Evolion), 펄(Pearl), 세인트레전드(SaintLegend), 올림프 오브 렙타일즈(Olymp of Reptiles)와 같은 블록체인 게임들에서 공격 시도가 자주 발견되는 중이다.
![[보안뉴스 / 7.27.] 대규모 암호화폐 지갑 탈취 캠페인, 맥OS 사용자들 집중적으로 노려](http://www.boannews.com/media/upFiles2/2023/07/221752102_7118.jpg)
[이미지 = gettyimagesbank]
가짜 블록체인 게임들
보안 업체 센티넬원(SentinelOne)에 의하면 최근 맥OS 생태계에서 블록체인 게임을 즐기려는 사람들 사이에서 암호화폐 지갑 관련 사고가 빈도 높게 발생하는 중이라고 한다. 지갑 속 자산이 사라지거나 크리덴셜이 다른 사람의 손에 넘어가는 피해가 여기 저기서 나타나고 있다는 것이다. 이런 피해자들의 공통점은 리얼스트(Realst)라는 정보 탈취형 멀웨어에 감염되었다는 것이다.
센티넬원이 리얼스트 샘플 59개를 확보하여 분석했을 때 16가지 변종이 있었다고 하며, 그 중 약 1/3은 맥OS 14 소노마를 겨냥하는 코드들을 보유하고 있었다고 한다. 소노마라고 하면 아직 공식 출시조차 되지 않은 OS이다. 공격자들이 얼마나 빠르게 움직이고 있는지를 알 수 있는 대목이다. 또한 일부 리얼스트 샘플은 애플 개발자 ID로 서명이 되어 있기도 했다. 현재 애플은 이러한 소식을 제보 받고 해당 ID와 서명을 취소시켰다.
이번 리얼스트 캠페인을 추적한 센티넬원의 연구원들은 “또 다른 정보 탈취 멀웨어인 퓨어랜드(PureLand)도 이 사건과 연루되어 있는 것으로 보인다”고 밝히기도 했다. 퓨어랜드는 이번 해 3월에 처음 나타난 멀웨어로, 맥OS 사용자들로부터 세션 쿠키, 키체인, SSH 키 등을 훔쳐내는 것으로 분석됐었다. 즉, 리얼스트나 퓨어랜드나 모두 맥OS 생태계를 노린 공격이라는 것이다.
기업들도 피해를 입을 수 있다
아직까지는 이번 리얼스트 캠페인이 일반 개인을 노린 것으로 보인다. 하지만 센티넬원의 위협 분석가인 필 스톡스(Phil Stokes)는 “결국 기업들에도 악영향이 미칠 것”이라고 짚는다. “임직원이 기업 망을 통해 자유롭게 소프트웨어를 다운로드 하고 실행시킬 수 있게 하는 기업이라면 모두가 잠재적으로 위험합니다. 그리고 대부분 기업들이 이런 식으로 직원들을 풀어주고 있고요. 공격자들도 이걸 알고 있기 때문에 기업을 노린다 하더라도 직원들을 통해 공격할 겁니다.” 게다가 애플의 보안 서비스인 엑스프로텍트(XProtect)는 현재로서는 리얼스트의 일부 악성 요소들을 제대로 방어하지 못한다고 스톡스는 경고한다.
맥OS 사용자들을 겨냥한 리얼스트 캠페인을 제일 먼저 발견해 알린 건 iamdeadlyz라는 닉네임을 사용하는 보안 전문가다. 그는 이미 지난 3월 리얼스트를 발견해 세상에 알렸다. 러스트 프로그래밍 언어를 기반으로 만들어졌으며 다양한 브라우저에 저장된 데이터를 훔쳐내는 기능을 가졌다는 내용이었다. 주로 암호화폐 지갑 주소, 브라우저에 설치된 플러그인 등과 같은 정보를 가져가는 것으로 당시 조사됐었다. 크롬, 브레이브, 오페라, 오페라GX, 파이어폭스, 비발디 등과 같은 브라우저들이 공격 대상이었고, 바이낸스 월렛, 트러스트 월렛, 메타마스크, 마션 월렛, 트론링크 등과 같은 지갑 서비스들의 사용자들이 피해를 입었다.
웹사이트, 디스코드, 엑스
센티넬원에 따르면 리얼스트 캠페인의 배후에 있는 위협 행위자들은 가짜 블록체인 게임들이 호스팅 되어 있는 것처럼 보이는 웹사이트들을 먼저 제작했다고 한다. 그리고 이 사이트들을 홍보하기 위해 디스코드와 엑스(트위터의 후신)에 계정을 만들어 활동하기도 했다. 나름 공식 SNS 계정을 가진 사이트들이니 더 진짜 같아 보였을 것이라고 센티넬원 측은 설명한다.
만들어 둔 SNS 계정들을 통해 공격자들은 피해자들에게 접근했다. DM을 보내는 경우도 대단히 많았다. DM으로 게임을 권하는 초대 메시지를 마구 살포한 것이다. 이 게임 계정들은 수천 명의 팔로워들을 순식간에 유치한 것으로 분석되고 있다. 그 만큼 공격자들이 사람들이 끌릴 만한 테마를 잘 활용한 것이라고 볼 수 있다. 그런 팔로워들을 대상으로 베타테스터 모집까지 하는 등 공격자들은 꽤나 진짜 게임 퍼블리셔처럼 행동하기도 했었다.
이에 속은 사람들은 비교적 빠른 시간 안에 자신들이 속았다는 사실을 깨달았다. 공격자들의 움직임이 매우 빨랐기 때문이다. 한 사용자는 자신의 엑스 계정을 통해 “브롤어스 게임을 받았더니 10분 만에 암호화폐 지갑이 전부 털리는 걸 경험했다”며 다른 사용자들에게 경고의 메시지를 전했다.
글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.27.] 대규모 암호화폐 지갑 탈취 캠페인, 맥OS 사용자들 집중적으로 노려](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
