새로운 사이버보안 위협, 가짜 업데이트로 맥 사용자를 겨냥합니다

사이버보안 연구자들이 온라인 공격의 새로운 물결을 일으키고 있는 두 개의 새로운 사이버 범죄 집단, TA2726와 TA2727을 발견했습니다. 이들은 가짜 업데이트 사기와 맥, 윈도우, 안드로이드 기기를 대상으로 하는 악성 소프트웨어를 포함한 공격을 벌이고 있습니다.

공격들은 정당한 웹사이트에 악성 코드를 주입하는 방식으로, 사용자들이 해로운 소프트웨어를 다운로드하도록 속이는 것입니다. 이러한 공격들은 점점 더 널리 퍼져가고 있습니다.

사이버보안 연구팀인 Proofpoint는 오늘 “웹 인젝트” 캠페인의 빈도가 증가하고 있다는 내용의 업데이트를 발표했습니다. 이 캠페인들은 사용자들을 속여 신뢰할 만한 것처럼 보이는 해킹된 사이트로 리디렉션하여 감염시키는 것이 목표입니다.

웹 인젝트는 일반적으로 사용자가 해킹된 웹사이트를 방문할 때 실행되는 악성 스크립트를 포함합니다. 이 스크립트들은 웹사이트에 가짜 업데이트 알림을 표시하도록 강제하거나, 사용자를 속여 사기성 업데이트를 클릭하게 만들어 악성 소프트웨어를 설치하게 합니다.

이러한 유형의 공격은 여러 행위자들이 동일한 방법을 사용하고 서로 협력하면서 추적하기가 점점 더 어려워지고 있습니다.

역사적으로, TA569 그룹은 가짜 업데이트를 사용하여 사용자에게 악성 소프트웨어를 감염시키는 것으로 잘 알려져 있었지만, 2023년에는 TA2726 그룹과 TA2727 그룹을 포함한 여러 그룹들이 Proofpoint이 설명한 바와 같이 유사한 전략을 사용하기 시작했습니다.

이 배우들은 이메일 캠페인보다는 컴프로마이즈된 웹사이트를 통해 악성 소프트웨어를 분배합니다. 이로 인해 공격을 탐지하는 것이 더 어려워집니다.

예를 들어, TA2726은 “트래픽 분배자”로서 기능하며, 사용자를 다양한 악성 소프트웨어 캠페인으로 리디렉션합니다. 이 그룹은 TA569와 TA2727과 같은 금전적 동기를 가진 배우들과 협력하여, 컴프로마이즈된 웹사이트를 이용해 악성 소프트웨어를 전파합니다. Proofpoint의 조사에 따르면, 2022년 9월 이후로 TA2726는 이러한 공격에서 핵심적인 역할을 하고 있었습니다.

반면에, TA2727은 맥 사용자를 대상으로 하는 정보 도둑인 FrigidStealer를 포함한 다양한 유형의 악성 소프트웨어를 전달하는 데 집중합니다.

Proofpoint는 2025년 초에 연구자들이 이 악성 소프트웨어를 윈도우와 맥 컴퓨터 모두를 대상으로 하는 캠페인에서 관찰했다고 언급합니다. 맥 사용자의 경우, 공격이 그들을 가짜 업데이트 페이지로 리디렉션하고, “업데이트” 버튼을 클릭하면 합법적인 브라우저 업데이트로 가장한 악성 소프트웨어가 다운로드됩니다.

FrigidStealer는 비밀번호, 쿠키, 암호화폐 관련 파일 등 민감한 정보를 수집합니다. 이 악성 소프트웨어는 이러한 데이터를 공격을 주도한 사이버 범죄자에게 전송한다는 것이 연구자들의 설명입니다.

맥 사용자들이 기업 환경에서 윈도우 사용자보다 흔하지 않지만, 이러한 공격은 빈도가 증가하고 있습니다.

전문가들은 이러한 위협으로부터 보호하기 위해 강력한 사이버 보안 관행을 권장합니다. 이에는 엔드포인트 보호 사용, 직원들이 수상한 활동을 인식하는 훈련, 그리고 믿을 수 없는 업데이트 알림을 클릭하는 것을 피하는 것이 포함됩니다.