ChainCatcher에 따르면 슬로우 미스트 (SlowMist) 최고 정보 보안 책임자인 23pds는 macOS 플랫폼에서 활동하는 MacSync Stealer 악성코드가 상당한 진화를 거쳤으며, 이미 일부 사용자의 자산이 도난당했다는 내용의 기사를 공유했습니다.
해당 기사에서 언급된 바에 따르면, 이 악성코드는 "터미널로 드래그 앤 드롭"이나 "ClickFix"와 같은 접근이 용이한 방식에서 벗어나 코드 서명과 애플의 공증을 거친 Swift 애플리케이션을 사용하는 방식으로 진화하여 은밀성이 크게 향상되었습니다. 연구원들은 이 샘플이 zk-call-messenger-installer-3.9.2-lts.dmg라는 디스크 이미지 형태로 유포되며, 인스턴트 메시징이나 유틸리티 애플리케이션으로 위장하여 사용자를 유인한다는 사실을 발견했습니다. 이전 버전과 달리, 새로운 버전은 사용자의 터미널 조작이 필요하지 않습니다. 대신 내장된 Swift 도우미 프로그램이 원격 서버에서 코딩된 스크립트를 가져와 실행함으로써 정보 탈취 과정을 완료합니다.
해당 악성코드는 Apple의 코드 서명 및 인증을 받았습니다. 개발자 팀 ID는 GNJLS3UYZ4이며, 분석 당시 Apple은 관련 해시값을 아직 취소하지 않았습니다. 이는 macOS의 기본 보안 메커니즘 하에서 악성코드의 "신뢰도"가 높아 사용자의 경계를 쉽게 우회할 수 있음을 의미합니다. 또한, 연구 결과 DMG 파일의 크기가 비정상적으로 크고, 의심을 더욱 줄이기 위해 LibreOffice 관련 PDF 파일과 같은 위장 파일이 포함되어 있는 것으로 나타났습니다.
보안 연구원들은 이러한 정보 탈취 트로이목마가 브라우저 데이터, 계정 자격 증명 및 암호화된 지갑 정보를 표적으로 삼는 경우가 많다고 지적합니다. 악성 소프트웨어가 Apple의 서명 및 공증 메커니즘을 체계적으로 악용하기 시작하면서 macOS에서 암호화 자산을 사용하는 사용자에게 피싱 및 개인 키 유출 리스크 상승 하고 있습니다.
