최근 사이버 보안 연구자들이 맥OS 사용자를 노린 새로운 악성코드 크툴루 스틸러(Cthulhu Stealer)를 발견했다. 이 악성코드는 2023년 말부터 매월 500달러에 임대 형식으로 제공되었으며, 맥OS 시스템에서 중요한 정보를 탈취하기 위해 설계되었다.
크툴루 스틸러는 애플 디스크 이미지(DMG) 형태로 배포되며, CleanMyMac, Adobe GenP, Grand Theft Auto VI 등의 인기 소프트웨어로 위장해 사용자들에게 설치를 유도한다. 사용자가 이 소프트웨어를 실행하고 맥OS의 게이트키퍼(Gatekeeper) 보호를 우회하면, 시스템 암호 입력을 요구하는 창이 나타난다. 이는 키체인(Keychain)에 접근하기 위한 수법으로, 과거에 Atomic Stealer와 같은 악성코드에서 사용된 기법과 유사하다.
이 악성코드는 사용자로부터 탈취한 데이터를 압축해 ZIP 파일로 만든 후, 이를 명령 및 제어 서버로 전송한다. 탈취 대상에는 브라우저 쿠키, 텔레그램 계정 정보, 다양한 암호화폐 지갑 등이 포함되어 있다. 특히 크툴루 스틸러는 오픈소스 도구인 체인브레이커를 활용해 키체인 암호를 탈취하는 등, 폭넓은 데이터 수집 기능을 가지고 있다.
흥미로운 점은 이 악성코드를 제작한 "크툴루"라는 별명을 가진 운영자가 자신과 관련된 사이버 범죄 시장에서 사기 혐의로 영구 제명되었다는 것이다. 이는 크툴루 스틸러의 배포자들이 수익을 제대로 분배받지 못했다는 불만에 따른 결과로, 이로 인해 크툴루 스틸러 개발팀이 해체되었다. 그러나 이 악성코드는 여전히 다른 사이버 범죄자들에 의해 사용되고 있다.
맥OS 사용자는 이러한 악성코드로부터 자신을 보호하기 위해, 애플 앱 스토어 또는 신뢰할 수 있는 공식 개발자 웹사이트에서만 소프트웨어를 다운로드하고, 시스템과 애플리케이션을 최신 보안 패치로 업데이트하는 것이 중요하다. 또한, 게이트키퍼와 같은 맥OS의 내장 보안 기능을 적극 활용해 미확인 소프트웨어의 설치를 방지해야 한다.
애플은 곧 출시될 맥OS Sequoia 업데이트에서 게이트키퍼의 보호 기능을 더욱 강화할 예정이며, 이로 인해 이러한 악성코드 공격의 성공률이 줄어들 것으로 기대된다.
[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)
▶주최: 데일리시큐
▶후원: 개인정보보호위원회, 한국정보보호산업협회
▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)
▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시
▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비
▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명
▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)
▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.
▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급
▶사전등록: 9월 8일 오후 5시 마감
▶사전등록링크: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★