컴퓨터 사용자는 사이버 보안 연구원이 애플의 공식 유틸리티로 위장한 새로운 악성 코드 인 CrashStealer를 발견 한 후주의를 기울여야합니다. 이 악성 코드는 암호, 브라우저 데이터, 암호화 자산 지갑에 이르기까지 다양한 민감한 데이터를 훔치도록 설계되었습니다.
이 발견은 Werkbit이라는 가짜 앱을 통해 활발하게 확산하고 있다는 것을 발견한 Jamf Threat Labs에 의해 발표되었습니다.
이 위협이 더욱 위험해지는 것은 악성 코드가 Apple의 공증 보안 메커니즘을 우회하여 일반적으로 유해한 응용 프로그램을 실행하는 것을 방지하는 macOS 내장 보안 시스템 인 게이트키퍼가 즉시 차단되지 않았다는 것입니다.
CrashStealer은 macOS 내장 충돌 보고 시스템과 유사한 모양을 가진 CrashReporter.app 응용 프로그램으로 위장하여 작동합니다. 그 모양이 매우 확실하기 때문에 많은 사용자는이 응용 프로그램이 Apple의 공식 구성 요소라고 생각할 것입니다. 실제로, 본래의 충돌 보고 기능은 macOS의 일부이며 별도로 다운로드할 필요가 없습니다.
실행 중이면 가짜 응용 프로그램은 시스템 관리를 이유로 전체 디스크 액세스 권한을 요청합니다. 그 후, 악성 코드는 macOS 공식 인증 창과 거의 동일한 모양의 암호 요청 대화 상자를 표시합니다.
사용자가 관리자 암호를 입력하면 CrashStealer은 macOS가 다양한 중요한 자격 증명을 저장하는 Keychain 로그인에 즉시 액세스합니다.
암호화폐 지갑까지 암호화폐 탈취
Jamf Threat Labs에 따르면 CrashStealer은 다음과 같은 다양한 유형의 민감한 데이터를 수집하도록 설계되었습니다.
브라우저 데이터,
키체인 로그인 정보,
암호 관리자 데이터,
문서 폴더의 파일,
다운로드 폴더에 있는 파일,
암호화폐 지갑 확장.
이 악성 코드는 80개 이상의 암호화 지갑 확장과 최소 14개의 암호 관리자 애플리케이션을 표적으로 삼을 수 있습니다.
목표로 삼은 몇몇 암호 관리자는 다음과 같습니다.
1Password,
LastPass,
Dashlane.
수집된 모든 데이터는 애플의 CommonCrypto 프레임워크를 통해 AES-256-GCM 알고리즘을 사용하여 암호화되고 범죄자의 서버로 전송됩니다.
애플 보안 시스템을 피하십시오
가장 걱정스러운 점 중 하나는 CrashStealer가 Apple의 공증 절차를 우회할 수 있다는 것입니다. 공증은 Apple이 macOS에서 실행되도록 허가되기 전에 응용 프로그램이 악성 코드를 포함하는지 확인하는 데 사용되는 보안 메커니즘입니다.
그러나이 경우 Werkbit 응용 프로그램은 공증 상태를 얻었으므로 Gatekeeper는 안전한 응용 프로그램으로 간주했습니다.
Jamf는 CrashStealer 구현이 일반 데이터 도난 악성 코드보다 훨씬 더 정교한 수준을 보여주며 매우 정교하게 활동을 위장할 수 있다고 평가했습니다.
애플이 공격 경로를 닫았습니다
Jamf는 2026년 5월에 CrashStealer를 처음 발견했으며 7월에 다시 악성 코드가 활성 상태로 사용되고 있음을 감지했습니다.
보고서를 받은 후 애플은 Werkbit 앱의 서명 인증서를 취소하여 연구원이 발견한 확산 경로가 비활성화되었습니다.
그럼에도 불구하고 연구자들은 범죄자가 미래에 유사한 악성 코드를 확산시키기 위해 다른 방법을 사용할 수 있다고 경고했습니다.
흥미롭게도, 초기 버전의 CrashStealer는 특정 PIN을 사용하여만 설치할 수 있습니다. 이는이 악성 코드가 대규모 확산이 아닌 특정 개인 또는 그룹을 대상으로 한 공격에 사용될 가능성이 있다는 것을 나타냅니다.
자신을 보호하는 방법
Jamf는 Mac 사용자에게 인터넷에서 응용 프로그램을 다운로드할 때 더 조심하도록 권장합니다.
권장되는 몇 가지 단계는 다음과 같습니다.
macOS에 기본 제공되므로 CrashReporter라고 주장하는 응용 프로그램을 다운로드하지 마십시오.
처음 열 때 바로 관리자 암호를 요청하는 응용 프로그램을 조심하십시오.
신뢰할 수 있는 소스에서만 앱을 다운로드하십시오.
항상 최신 보안 보호를 받으려면 macOS를 최신 버전으로 업데이트하십시오.
CrashStealer 사례는 현대적인 보안 시스템이 항상 모든 위협을 막을 수는 없다는 것을 보여줍니다. 점점 더 정교해지는 위장 기술은 사용자를 가장 중요한 방어 계층으로 남겨 둡니다. 따라서 중요한 데이터 및 디지털 자산의 도난을 방지 할 수있는 간단한 단계로 설치하기 전에 응용 프로그램의 출처를 확인하고 무작위로 액세스 권한을 부여하거나 관리자 암호를 입력하지 않는 것이 좋습니다.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)