Cthulhu Stealer

사이버 보안 연구원들이 Apple macOS 시스템을 특별히 타겟으로 삼도록 설계된 새로운 정보 도용 맬웨어를 발견하면서 위협 행위자들이 이 운영 체제에 더 집중하는 추세가 커지고 있음을 강조했습니다. Cthulhu Stealer라는 이름의 이 맬웨어는 2023년 말부터 Malware-as-a-Service(MaaS) 패키지의 일부로 제공되고 있으며, 가격은 월 500달러입니다. x86_64와 Arm 아키텍처를 모두 공격할 수 있습니다.

Cthulhu Stealer는 서로 다른 아키텍처에 맞게 조정된 두 개의 바이너리를 포함하는 Apple 디스크 이미지(DMG)로 배포됩니다. Golang으로 작성된 이 맬웨어는 합법적인 소프트웨어로 위장합니다. 모방하는 소프트웨어 프로그램으로는 CleanMyMac, Grand Theft Auto IV, Adobe GenP가 있으며, 후자는 Adobe Creative Cloud의 활성화 프로세스를 우회하는 데 사용되는 오픈 소스 도구입니다.

크툴루 스틸러, 민감한 데이터와 자격 증명 수집

Gatekeeper 보호를 수동으로 우회한 후 서명되지 않은 파일을 실행하도록 선택한 사용자는 시스템 비밀번호를 입력하라는 메시지를 받습니다. 스크립트를 기반으로 하는 이 기술은 Atomic Stealer, Cuckoo , MacStealer 및 Banshee Stealer 와 같은 다른 맬웨어에서도 사용되었습니다.

이어서 사용자는 MetaMask 비밀번호를 입력하라는 요청을 받습니다. Cthulhu Stealer는 Chainbreaker라는 오픈소스 도구를 사용하여 시스템 정보를 수집하고 iCloud Keychain 비밀번호를 추출하도록 추가로 장비되어 있습니다.

수집된 데이터에는 웹 브라우저 쿠키와 Telegram 계정 정보가 포함되며, ZIP 아카이브로 압축되어 유출을 위해 C2(명령 및 제어) 서버로 전송됩니다.

크툴루 스틸러의 능력 분석

Cthulhu Stealer의 주요 기능은 게임 계정을 포함한 다양한 소스에서 자격 증명과 암호화폐 지갑을 수집하는 것입니다. 이 기능은 Atomic Stealer의 기능과 매우 유사하여 Cthulhu Stealer 개발자가 Atomic Stealer의 코드를 수정했을 수 있음을 시사합니다. 둘 다 osascript를 사용하여 사용자에게 비밀번호를 묻고, 심지어 동일한 철자 오류를 공유합니다.

이 멀웨어의 배후에 있는 그룹은 더 이상 활동하지 않는 것으로 알려졌는데, 부분적으로는 지불 분쟁으로 인해 제휴사들이 탈퇴 사기를 저질렀다는 비난을 퍼부었기 때문입니다. 이로 인해 주요 개발자는 도둑이 광고된 사이버범죄 시장에서 영구적으로 추방되었습니다.

크툴루 스틸러는 특별히 정교하지 않으며, 은밀하게 작동할 수 있는 고급 분석 방지 기술이 부족합니다. 게다가 지하 시장의 다른 유사한 도구와 차별화되는 독특한 기능이 없습니다.

Apple, 맬웨어 방지를 위한 추가 단계 시행

macOS는 Windows와 Linux에 비해 위협이 적지만, 사용자는 여전히 주의해야 합니다. 신뢰할 수 있는 출처에서만 소프트웨어를 다운로드하고, 검증되지 않은 애플리케이션을 설치하지 않으며, 최신 보안 패치로 시스템을 업데이트하는 것이 중요합니다.

Apple은 macOS 맬웨어의 증가를 인정했고, 이번 달 초에 출시 예정인 운영 체제 버전인 Sequoia에 대한 업데이트를 발표했습니다. 이 업데이트는 적절하게 서명되거나 공증되지 않은 소프트웨어를 여는 데 대한 더 엄격한 조치를 도입합니다.

macOS Sequoia에서 사용자는 더 이상 검증되지 않은 소프트웨어에 대해 Control-클릭하여 Gatekeeper를 우회할 수 없습니다. 대신, 이러한 애플리케이션을 실행하기 전에 시스템 설정 > 개인 정보 보호 및 보안으로 이동하여 보안 정보를 검토하고 승인해야 합니다.