마이크로소프트, 파이썬 정보 탈취 악성코드의 맥OS 노린 위장 광고 경고

2026.02.05 17:23:11

[무료 초대] 2026 제조AX 대전망 온라인 컨퍼런스에서 피지컬AI, 제조AI, 지능형 로봇, 스마트물류, 스마트공정제어, 품질혁신, 자율제조SW, ESG까지 만나보세요 (2.2~6)

애플 맥OS 환경을 노린 정보 탈취형 악성코드가 파이썬 기반으로 진화하며 위장 광고와 가짜 설치 프로그램을 통해 확산되고 있다.

미국 IT 기업 마이크로소프트(Microsoft)에 따르면 정보 탈취 공격이 윈도 운영체제뿐 아니라 애플 맥OS 환경으로 빠르게 확장되고 있으며, 이를 위해 파이썬(Python)과 같은 크로스 플랫폼 언어와 신뢰받는 배포 플랫폼이 악용되고 있다.

마이크로소프트 디펜더 시큐리티 리서치 팀(Defender Security Research Team)은 2025년 말부터 클릭픽스(ClickFix)와 같은 사회공학 기법을 사용하는 맥OS 대상 정보 탈취 캠페인을 포착했다고 밝혔다.

이들 공격은 디스크 이미지(DMG) 설치 파일을 배포해 아토믹 맥OS 스틸러(Atomic macOS Stealer, AMOS), 맥싱크(MacSync), 디짓스틸러(DigitStealer)와 같은 정보 탈취 악성코드 패밀리를 설치하는 방식으로 이뤄진 것으로 전했다.

캠페인에서는 파일을 남기지 않는 방식의 실행(fileless execution), 맥OS 기본 유틸리티, 애플스크립트(AppleScript) 자동화와 같은 기법이 활용돼 데이터 탈취가 이뤄진 것으로 분석됐다.

탈취 대상에는 웹 브라우저 자격 증명과 세션 데이터, 아이클라우드 키체인(iCloud Keychain), 개발자 비밀 정보 등이 포함돼 있다.

이들 공격의 시작점은 대개 악성 광고이며, 종종 구글 애즈(Google Ads)를 통해 제공되는 것으로 나타났다.

사용자가 다이내믹레이크(DynamicLake)와 인공지능(AI) 도구 등의 검색을 수행하면, 악성 광고가 이를 가짜 사이트로 리다이렉트해 클릭픽스 유인 기법을 사용하고 사용자가 스스로 악성코드를 설치하도록 속이는 방식이라고 했다.

마이크로소프트는 파이썬 기반 스틸러가 공격자에게 코드 재사용과 빠른 적응을 가능하게 해, 최소한의 비용으로 이기종 환경을 동시에 노릴 수 있게 하고 있다고 설명했다.

이러한 악성코드는 일반적으로 피싱 이메일을 통해 유포되며, 로그인 자격 증명, 세션 쿠키, 인증 토큰, 신용카드 번호, 암호화폐 지갑 데이터 등을 수집하는 것으로 전했다.

이 가운데 하나인 PXA 스틸러(PXA Stealer)는 베트남어를 사용하는 위협 행위자들과 연관된 것으로 알려졌으며, 로그인 자격 증명, 금융 정보, 브라우저 데이터를 수집할 수 있는 기능을 갖추고 있다.

마이크로소프트는 2025년 10월과 2025년 12월 두 차례에 걸쳐, 초기 침투 수단으로 피싱 이메일을 활용한 PXA 스틸러 캠페인 두 건을 확인했다고 밝혔다.

공격 체인은 레지스트리 Run 키나 예약 작업을 이용한 지속성 확보, 텔레그램(Telegram)을 이용한 명령제어(C2) 통신과 데이터 유출 과정을 포함하고 있었다.

또한 공격자는 왓츠앱(WhatsApp)과 같은 인기 메신저 앱을 무기화해 이터니다지 스틸러(Eternidade Stealer)와 같은 악성코드를 유포하고, 금융 및 암호화폐 계정에 접근하는 시도도 벌인 것으로 나타났다.

이와 관련된 캠페인 세부 내용은 2025년 11월 레벨블루/트러스트웨이브(LevelBlue/Trustwave)에 의해 공개적으로 문서화됐다.

다른 정보 탈취 관련 공격은 크리스털 PDF(Crystal PDF)와 같은 가짜 PDF 편집기를 중심으로 전개됐다.

이는 멀버타이징(Malvertising)과 구글 애즈를 노린 검색 엔진 최적화(SEO) 오염 기법을 통해 유포되며, 윈도 기반 스틸러를 설치해 모질라 파이어폭스(Mozilla Firefox), 크롬(Chrome) 브라우저에서 쿠키, 세션 데이터, 자격 증명 캐시를 은밀히 수집하는 방식이라고 했다.

정보 탈취형 악성코드 위협에 대응하기 위해, 조직에는 멀버타이징 리다이렉트 체인, 가짜 설치 프로그램, 클릭픽스 스타일의 복사·붙여넣기 프롬프트와 같은 사회공학 공격 유형에 대해 사용자 교육을 시행할 것이 권고됐다.

또한 의심스러운 터미널(Terminal) 활동과 아이클라우드 키체인 접근을 모니터링하고, 신규 등록 또는 의심스러운 도메인으로 향하는 POST 요청이 있는지 네트워크 이그레스(egress)를 점검해야 한다고 조언했다.

마이크로소프트는 인포스틸러에 감염될 경우 데이터 유출, 내부 시스템에 대한 무단 접근, 기업 이메일 침해(BEC), 공급망 공격, 랜섬웨어 공격 등으로 이어질 수 있다고 경고했다.

헬로티 |

헬로티 의 전체기사 보기