사이버보안 연구원들은 Apple macOS 호스트를 타겟으로 삼고 광범위한 정보를 수집하도록 설계된 새로운 정보 도용 도구를 발견했습니다. 이는 위협 행위자들이 운영 체제를 노리는 경향이 점점 더 커지고 있음을 보여줍니다.
Cthulhu Stealer라는 이름의 이 맬웨어는 2023년 말부터 월 500달러에 맬웨어 즉 서비스(MaaS) 모델로 제공될 예정입니다. x86_64와 Arm 아키텍처를 모두 타겟으로 삼을 수 있습니다.
“Cthulhu Stealer는 아키텍처에 따라 두 개의 바이너리와 함께 번들로 제공되는 Apple 디스크 이미지(DMG)입니다.” Cato Security 연구원인 Tara Gould가 말했습니다. “이 맬웨어는 Golang으로 작성되었으며 합법적인 소프트웨어로 위장합니다.”
이것이 가장한 소프트웨어 프로그램으로는 CleanMyMac, Grand Theft Auto IV, Adobe GenP 등이 있으며, 이 중 마지막 프로그램은 Creative Cloud 서비스를 우회하여 Adobe 앱을 패치하고 일련 번호 없이도 활성화하는 오픈소스 도구입니다.
명시적으로 실행을 허용한 후 서명되지 않은 파일을 실행하는 사용자(즉, Gatekeeper 보호를 우회하는 사용자)에게는 시스템 비밀번호를 입력하라는 메시지가 표시됩니다. 이는 Atomic Stealer, Cuckoo, MacStealer 및 Banshee Stealer에서 채택한 osascript 기반 기술입니다.
다음 단계에서는 MetaMask 비밀번호를 입력하라는 두 번째 프롬프트가 표시됩니다. Cthulhu Stealer는 또한 Chainbreaker라는 오픈 소스 도구를 사용하여 시스템 정보를 수집하고 iCloud Keychain 비밀번호를 덤프하도록 설계되었습니다.
도난당한 데이터에는 웹 브라우저 쿠키와 Telegram 계정 정보도 포함되어 있으며, 압축되어 ZIP 보관 파일로 저장된 후 명령 및 제어(C2) 서버로 유출됩니다.
Gould는 “Cthulhu Stealer의 주요 기능은 게임 계정을 포함한 다양한 스토어에서 자격 증명과 암호화폐 지갑을 훔치는 것입니다.”라고 말했습니다.
“Cthulhu Stealer의 기능과 특징은 Atomic Stealer와 매우 유사하여 Cthulhu Stealer 개발자가 Atomic Stealer를 가져와 코드를 수정했을 가능성이 큽니다. 사용자에게 비밀번호를 묻기 위해 osascript를 사용하는 방식은 Atomic Stealer와 Cthulhu에서 유사하며, 철자 오류도 동일합니다.”
악성 소프트웨어 배후에 있는 위협 행위자들은 더 이상 활동하지 않는다고 하며, 그 이유 중 하나는 제휴사들이 탈퇴 사기를 저질렀다는 비난으로 이어진 지불 분쟁 때문이라고 합니다. 이로 인해 주요 개발자는 도난범을 광고하는 데 사용되는 사이버범죄 시장에서 영구히 추방당했습니다.
Cthulhu Stealer는 특별히 정교하지 않으며 은밀하게 작동할 수 있는 분석 방지 기술이 부족합니다. 또한 지하에서 다른 유사한 제품과 구별되는 눈에 띄는 특징이 없습니다.
Windows와 Linux에 비해 macOS에 대한 위협은 훨씬 적지만, 사용자는 신뢰할 수 있는 출처에서만 소프트웨어를 다운로드하고, 검증되지 않은 앱은 설치하지 말고, 최신 보안 업데이트로 시스템을 최신 상태로 유지하는 것이 좋습니다.
macOS 맬웨어의 급증은 Apple에게 주목받지 못했습니다. 이달 초 Apple은 운영 체제의 차기 버전에 대한 업데이트를 발표했는데, 이 업데이트는 올바르게 서명되지 않았거나 공증되지 않은 소프트웨어를 열려고 할 때 더 많은 마찰을 추가하는 것을 목표로 합니다.
Apple은 “macOS Sequoia에서 사용자는 더 이상 올바르게 서명되지 않았거나 공증되지 않은 소프트웨어를 열 때 Control-클릭하여 Gatekeeper를 재정의할 수 없습니다.”라고 밝혔습니다. “시스템 설정 > 개인 정보 보호 및 보안으로 이동하여 소프트웨어의 보안 정보를 검토한 다음 실행을 허용해야 합니다.”
