클린마이맥 사칭 가짜 사이트·ClickFix 수법, 맥 보안 우회 악성코드 유포
키체인·브라우저 비밀번호·가상자산 지갑 탈취, C2 서버 실시간 정보 전송

[보안뉴스 김형근 기자] 유명 맥 관리 도구인 클린마이맥(CleanMyMac)을 사칭한 가짜 웹사이트가 신종 악성코드 ‘에스허브 스틸러’(SHub Stealer)를 대규모로 유포하면서 사용자의 디지털 자산이 위협받고 있다.


[출처: gettyimagesbank]

공격자는 사용자가 직접 터미널에 악성 명령어를 복사해 붙여넣도록 유도하는 ‘클릭픽스’(ClickFix) 수법을 주로 사용한다. 사용자가 직접 실행한 명령은 맥의 핵심 방어 기제인 게이트키퍼(Gatekeeper)와 공증(Notarization) 검증을 무력화한다.

에스허브 스틸러의 핵심인 악성 셸 스크립트는 실행 즉시 맥 키체인과 브라우저 비밀번호, 텔레그램 세션 등 민감 데이터를 추출해 탈취한다. 또한 로더(Loader) 스크립트는 기기에 러시아어 키보드가 설치돼 있는지 확인해 러시아나 인접 국가(CIS) 사용자로 판명될 경우 추적을 피하기 위해 공격을 중단한다.

에스허브는 감염된 기기의 IP 주소와 이름 등 식별 정보를 즉각 공격자의 본부(C2 서버)로 전송해 피해자의 활동을 실시간으로 추적한다.

또한 사용자의 가상자산 지갑을 해커의 통제하에 두고 자산을 탈취하기 위해 엑소더스(Exodus)와 트레저(Trezor) 등 5종의 주요 지갑 앱을 공격해 핵심 로직 파일(app.asar)을 백도어로 교체한다. 백도어가 이식된 지갑 앱은 겉보기에는 정상적으로 작동하지만, 사용자가 비밀번호나 시드 구문을 입력하는 순간 해당 정보가 공격자 서버로 전송된다.

가상자산 하드웨어 지갑 관리 프로그램인 트레저 스위트(Trezor Suite)의 경우 정교하게 설계된 전체 화면 가짜 보안 업데이트 창을 띄워 사용자의 금고 복구 키 탈취를 시도한다.

또한 구글 업데이트 에이전트(com.google.keystone.agent.plist)를 사칭한 백도어를 시스템에 심어 60초마다 원격 명령을 실행하도록 한다. 보안업체 멀웨어바이트(Malwarebytes) 분석 결과 탈취된 데이터가 동일한 엔드포인트로 집결되는 조직적인 단일 운영 체계도 확인됐다.

피해자는 즉시 런치에이전트(LaunchAgents) 내 악성 파일을 제거하고 시드 구문이 노출된 가상자산 지갑의 자금을 새로운 지갑으로 이전해야 한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>