최근 X-Labs 연구진이 발견한 Odyssey Stealer 캠페인은 기존 Windows 기반 ClickFix 공격의 진화를 보여줍니다.
이번에는 macOS 사용자까지 타깃에 포함시켜, 암호화폐 지갑·브라우저 로그인 정보·개인 문서 등 민감 데이터를 광범위하게 탈취하는 정교한 공격을 시도하고 있습니다.
📌 공격 개요
- 발견 시점: 2025년 8월
- 위협 그룹: 미확인, 하지만 ClickFix 계열 전술 사용
- 타깃 OS: macOS (기존 Windows 버전 ClickFix 전술 확장)
- 주요 목표: 암호화폐 지갑 정보, 브라우저 크리덴셜, macOS Keychain, 개인 파일
- 전파 방식: 가짜 CAPTCHA 페이지 + 터미널 명령 실행 유도
1️⃣ 가짜 CAPTCHA 페이지로 시작되는 사회공학
피해자는 우연히(혹은 피싱 링크를 클릭하여) tradingviewen[.]com 도메인에 접속하게 됩니다.
이 사이트는 “인간임을 확인하는 CAPTCHA”를 표시하지만, 실제로는 운영체제를 자동 감지하여 다른 지시를 내립니다.
- Windows 사용자: Windows용 악성 스크립트 실행 유도
- macOS 사용자: 터미널 실행(⌘+Space) → 제공된 명령어 복사·붙여넣기 유도
여기서 중요한 건 CAPTCHA라는 신뢰성 높은 UI를 통해 사용자가 의심 없이 터미널 명령을 입력하게 만든다는 점이에요. 👀
2️⃣ Base64 → AppleScript → 데이터 수집
macOS 사용자가 명령어를 실행하면, 내부적으로 다음이 진행됩니다.
- Base64 인코딩 문자열 디코딩
- 원격 서버(45.146.130[.]131/d/vipx14350)에서 난독화된 AppleScript 다운로드
- AppleScript 실행 후 시스템 암호 입력 요청 → 관리자 권한 획득
이 과정에서 피해자는 “인증 절차”라고 믿고 암호를 입력하게 되고, 악성 스크립트는 루트 권한 수준에서 활동할 수 있게 됩니다.
3️⃣ 탈취 대상 & 범위
Odyssey Stealer는 실행 후 다음 경로와 데이터를 광범위하게 수집합니다.
💰 암호화폐 지갑
- Electrum, Exodus, Litecoin, Wasabi 등
- Chrome, Brave, Edge, Opera 같은 Chromium 브라우저 확장 설정까지 탐색
🌐 브라우저 데이터
- 저장된 로그인 계정, 쿠키, 자동완성 데이터, 폼 기록
- Firefox·Chromium 기반 브라우저 모두 지원
📂 개인 문서
- Desktop & Documents 폴더 내 .txt, .pdf, .docx, .key 파일
🔐 macOS 보안 저장소
- Safari 쿠키
- Apple Notes
- macOS Keychain 내 저장된 암호·보안 메모
📦 저장소 검색
- Local Storage & IndexedDB 디렉토리에서 지갑·계정 관련 데이터 전부 추출
4️⃣ 데이터 압축 & 전송
모든 수집 데이터를 /tmp/out.zip에 압축한 뒤,
curl 명령어를 이용해 C2 서버(45.146.130[.]131/log)로 업로드합니다.
공격자는 해당 서버의 Odyssey Stealer Control Panel에서 탈취 데이터를 확인하고, 암호화폐 지갑 접근·계정 탈취 등에 악용할 수 있습니다.
5️⃣ 흔적 제거 (Anti-Forensics)
데이터 전송 후:
- /tmp/out.zip 삭제
- 임시 폴더 제거
- 실행 흔적 최소화
이로 인해 사고 분석·포렌식 난이도가 급상승합니다. 보안 담당자가 사후 조사를 해도 증거를 찾기 어려워요.
⚠️ 보안 회피(Evasion) 기술
- 무작위 문자열 기반 난독화 → 분석 지연
- 터미널 직접 실행 유도 → 악성 파일 드롭 없이 메모리 기반 실행
- 사용자 암호 요청 → 합법적 권한처럼 위장
🔒 방어 방법
- 출처 불명의 CAPTCHA·인증 요청 거부
- 특히 터미널 명령 실행 요구 시 즉시 의심
- macOS Gatekeeper & XProtect 활성화 유지
- 브라우저 확장 관리
- 지갑 확장 설치 여부·권한 주기적 점검
- 보안 솔루션에 AppleScript 실행 모니터링 규칙 추가
- 암호화폐 보관 시 하드웨어 월렛 사용 (브라우저 확장 최소화)
- 정기적인 Keychain 비밀번호 변경 & 파일 암호화
📌 결론
Odyssey Stealer는 “macOS는 안전하다”는 사용자들의 방심을 노린 공격입니다.
특히, CAPTCHA + 터미널 실행이라는 심리적 장벽 낮추기 기법이 굉장히 교묘합니다.
암호화폐 지갑을 쓰거나, 브라우저에 로그인 정보를 저장하는 macOS 사용자라면 이번 사례를 계기로 이중 보안과 출처 확인 습관을 꼭 챙겨야 합니다. 🔐
'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글
| 🖋️ eudcedit.exe로 UAC 우회? 윈도우 권한 상승 취약점 발견! (4) | 2025.08.11 |
|---|---|
| 🔓 BitUnlocker: Windows BitLocker를 무력화한 4가지 치명적 취약점 (4) | 2025.08.11 |
| 구글 Ads 고객 데이터 유출 사건 🔍 UNC6040·ShinyHunters의 정교한 Vishing 공격 분석 (7) | 2025.08.11 |
| 🤖 GPT-5, 출시 하루 만에 뚫렸다… 스토리텔링·난독화 공격에 무력한 이유 (4) | 2025.08.11 |
| 💸 "한 방에 부자 된다?" 유튜브 속 스마트 컨트랙트, 알고 보니 9억 원 넘게 털린 사기 사건 (6) | 2025.08.11 |