애플스크립트 기반으로 키체인 및 브라우저 정보 탈취해 C2 서버 전송
[보안뉴스 김형근 기자] 최근 애플 macOS를 표적으로 삼는 신종 정보 탈취 악성코드 ‘오디세이 스틸러’(Odyssey Stealer)가 전 세계 100여 개국 이상에서 창궐해 각별한 주의가 요구된다. 이 악성코드는 과거 기승을 부렸던 ‘아모스’(AMOS)·‘포세이돈 스틸러’(Poseidon Stealer)에서 진화한 형태로, 서비스형 악성코드(MaaS)로 판매돼 글로벌 위협으로 급부상했다.

[자료: gettyimagesbank]
공격자들은 주로 ‘클릭픽스’(ClickFix)라는 사회공학적 기법을 사용해 악성코드를 퍼뜨린다. 마이크로소프트 팀즈 다운로드 페이지나 클라우드플레어 캡차 인증 화면을 위조한 뒤 사용자에게 터미널(Terminal) 창을 열고 특정 명령어를 복사해 붙여 넣도록 유도한다. 사용자가 명령어를 실행하면 시스템 권한을 탈취하는 악성 스크립트가 작동한다.
오디세이 스틸러의 주요 표적은 크롬·엣지·파이어폭스 등 주요 브라우저에 저장된 자동 완성 데이터와 쿠키, 비밀번호, 결제 정보다. 애플 노트 앱의 기록과 데스크톱 화면의 주요 문서들도 수집 대상에 포함된다. 수집된 모든 정보는 암호화 압축돼 공격자의 명령제어(C2) 서버로 전송된다.
이 악성코드는 애플스크립트(AppleScript) 기반으로 제작됐는데, 실행 즉시 macOS의 보안 메커니즘을 우회하고 가짜 시스템 환경설정 비밀번호 입력 창을 띄워 사용자 인증 정보를 훔쳐낸다. 이를 통해 민감한 정보가 담긴 키체인(Keychain) 파일을 해독하고 시스템 내부를 광범위하게 탐색한다.
또, 시스템 재부팅 후에도 동작하기 위해 론치데몬(LaunchDaemon)을 통해 지속성을 확보한다. 이는 단발성 정보 탈취에 그치지 않고 감염된 기기를 봇넷 생태계에 편입시켜 장기간 통제망 아래 두려는 2차 공격의 의도를 내포하고 있다.
특히 암호화폐 탈취 기능이 고도화됐다. 200여 개의 브라우저 지갑 확장 프로그램과 18개의 데스크톱 지갑 앱을 표적으로 삼는다. 레저 라이브(Ledger Live) 등 정상적인 암호화폐 관리 애플리케이션을 트로이목마가 심어진 가짜 버전으로 교체해 사용자의 복구 구문을 빼돌리는 치밀함까지 보인다.
최근 애플 생태계를 겨냥한 MaaS 시장이 급격히 커지고 있다. 윈도우용 정보 탈취 악성코드가 다크웹에서 수백달러 선에 거래되는 반면, 맥 전용 악성코드인 오디세이 스틸러는 월 3000달러 수준의 고가에 거래된다. 이러한 가격은 맥 사용자가 상대적으로 보안에 둔감하고, 암호화폐 큰손이나 고급 개발자 같은 고부가가치 대상일 확률이 높다는 수익성 계산의 결과다.
전 세계 100여개국에서 동시다발적으로 감염이 창궐하는 현상도 이러한 비용을 회수하기 위한 공격자들의 유포 전략을 방증한다. 보안 전문가들은 출처가 불분명한 소프트웨어 설치를 자제할 것을 강조하면서, 특히 터미널 명령어를 직접 입력하게 만드는 ‘클릭픽스’ 기법은 시스템 샌드박스를 사용자의 수동 조작으로 무력화하는 전형적인 인적 취약점 공격임으로 주의를 요한다고 경고했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>













