인피니티 스틸러(Infiniti Stealer) 악성코드는 가짜 클라우드플레어(Cloudflare) CAPTCHA 페이지를 통해 확산되며, macOS의 암호화폐 지갑과 민감한 데이터를 표적으로 삼습니다. 이로 인해 업계 전반에 걸쳐 2025년까지 34억 달러의 손실이 발생할 것으로 예상됩니다.
Malwarebytes 의 보안 연구원들이 macOS에서 암호화 자산을 사용하는 사용자를 대상으로 하는 새로운 공격 캠페인을 발견했습니다. 이 공격은 Cloudflare의 인증 인터페이스를 모방한 가짜 CAPTCHA 페이지를 이용하여 Infiniti Stealer라는 데이터 탈취 소프트웨어를 배포합니다.
이 캠페인의 우려스러운 점은 감염 메커니즘에 있습니다. 공격자들은 시스템 취약점을 악용하는 대신, 사용자가 악성 명령을 직접 실행하도록 유도하는데, 이는 윈도우에서 흔히 사용되는 '클릭픽스(ClickFix)'라는 기법으로, 애플 생태계를 공격하는 데 활용되고 있습니다.
macOS는 더 이상 암호화 자산을 탈취하는 악성코드로부터 안전한 환경이 아닙니다.
공격 과정은 기존 보안 시스템을 우회하도록 정교하게 설계되었습니다. 사용자는 업데이트 확인 서비스를 사칭하는 도메인을 사용하는 웹사이트에 접속하여 Cloudflare와 동일한 CAPTCHA 인터페이스를 확인했습니다. 확인을 클릭하면 표준 인증 절차로 제시된 명령어를 터미널에 붙여넣으라는 메시지가 나타났습니다.
이 명령어는 본질적으로 경고 없이 원격 제어 서버에 연결하여 Infiniti Stealer를 다운로드하고 배포하는 숨겨진 설치 스크립트입니다. 이 악성코드는 쉽게 읽을 수 있는 스크립트가 아닌 macOS 바이너리에 컴파일되어 있어 분석 및 탐지가 훨씬 더 어렵습니다.
침입에 성공하면 Infiniti Stealer는 암호화폐 지갑 데이터, 브라우저 로그인 자격 증명, macOS 키체인 데이터, 개발자 텍스트 파일, 실행 중 캡처한 스크린샷을 추출합니다. 또한 이 악성 프로그램은 탐지를 피하기 위해 분석 환경을 감지하는 메커니즘을 포함하고 있으며, 추출 완료 시 텔레그램을 통해 알림을 보내고, 수집된 로그인 자격 증명을 서버 측 암호 크래킹 대기열에 추가합니다.
이는 단발적인 위협이 아닙니다. 지난 3월, GhostClaw 악성코드가 인기 있는 자바스크립트 패키지 관리자인 npm을 통해 OpenClaw라는 합법적인 도구로 위장하여 배포되었습니다. 이 악성코드는 여러 단계를 거쳐 개인 키와 지갑 접근 권한을 탈취한 후 178명의 개발자가 다운로드한 뒤 삭제되었습니다.
더 넓은 관점에서 보면 이러한 추세의 심각성이 드러납니다. 체이나리시스(Chainalysis)에 따르면, 개인 지갑 해킹으로 인한 전체 도난 금액의 비율은 2022년 7.3%에서 2024년 44%로 증가했으며, 업계 전체 손실액은 2025년에 34억 달러에 달할 것으로 예상됩니다.
macOS 사용자에게 가장 간단하고 권장되는 방법은 출처가 불분명한 명령어를 터미널에 절대 붙여넣지 않는 것입니다.
