
소식 맥, 홈브루 사칭 악성코드 유포 증가
- BarryWhite
- 조회 수 190
- 2025.01.24. 01:18
특히 오픈 소스 패키지 관리 도구인 홈브루(Homebrew)를 사칭한 가짜 웹사이트를 통해 악성코드를 유포하는 수법이 사용되고 있다고 합니다.
해커들은 구글 광고에 공식 홈브루 웹사이트 주소인 "brew.sh"를 표시하지만, 사용자가 클릭하면 실제로는 "brewe.sh"와 같이 단 한 글자만 다른 가짜 웹사이트로 연결되도록 합니다. 가짜 웹사이트는 홈브루의 설치 과정을 모방해 사용자들이 악성 명령어를 실행하도록 유도합니다.
사용자가 가짜 사이트서 제공하는 스크립트를 실행하면, 개인 정보 유출 악성코드인 아모스 스틸러(AmosStealer)가 설치됩니다. 아모스 스틸러는 50개 이상의 암호화폐 지갑, 브라우저 저장 데이터, 데스크톱 앱을 표적으로 삼아 사용자의 중요한 정보를 탈취합니다.
애플인사이더에 따르면, 아모스 스틸러는 과거에도 가짜 구글 미트(Google Meet) 페이지와 같은 유사한 공격에 사용된 적이 있으며, 애플 사용자들을 대상으로 하는 사이버 공격에 자주 활용되는 악성코드라고 합니다.
이 악성코드는 2023년 4월 텔레그램을 통해 처음 판매되기 시작했으며, 2023년 9월부터 악성 구글 광고를 통해 유포되기 시작했습니다. 2024년 8월에는 룸(Loom)과 같은 인기있는 앱의 가짜 버전을 만들어 악성 구글 광고를 통해 사용자를 속였습니다.
구글은 매일 수십억 건의 광고를 처리해야 하는 상황서 악성 광고를 차단하는 데 어려움을 겪고 있습니다. 사이버 범죄자들은 URL을 미세하게 변경하거나, 광고 승인 후 콘텐츠를 수정하는 등 교묘한 수법으로 자동화된 감시 시스템을 우회하고 있습니다. 구글은 자동화 시스템에 의존하고 있지만, 인력 부족으로 인해 모든 악성 광고를 걸러내지 못하고 있는 실정입니다.
이 사이버 공격을 예방하기 위해, 검색 시 스폰서 링크를 피하고, 공식 웹사이트를 직접 방문하거나 북마크를 사용하는 것이 안전하다고 애플인사이더는 전했습니다. 또 웹사이트 URL을 꼼꼼히 확인하고, 출처가 불분명한 링크나 스폰서 링크를 통해 소프트웨어를 설치하지 않아야 합니다. 특히 홈브루 사용자는 더 주의를 기울일 필요가 있습니다.
