[보안뉴스] 클린마이맥 사칭 악성코드 확산... 맥 키체인·가상자산 지갑 노린다

https://www.boannews.com/media/view.asp?idx=142565&page=3&mkind=1&kind=4

클린마이맥 사칭 악성코드 확산... 맥 키체인·가상자산 지갑 노린다

 

 

클린마이맥(CleanMyMac)

MacPaw가 만든 macOS용 정리·최적화 유틸리티입니다. 불필요한 파일 정리, 앱 삭제 잔여물 제거, 중복 파일 탐색, 시작 프로그램 관리, 일부 악성코드/애드웨어 점검 같은 기능을 제공

 

에스허브 스틸러(SHub Stealer)

1. SHub Stealer 개념

정의

• macOS에서 비밀번호, 브라우저 데이터, 암호화폐 지갑 정보 등을 탈취하는 악성코드
• 분류: Infostealer (정보 탈취형 멀웨어)

탈취 대상 데이터 예시

• 브라우저 저장 비밀번호 및 쿠키
• Apple Keychain 데이터
• 텔레그램 세션
• 암호화폐 지갑 파일 및 시드 문구
• iCloud 계정 데이터 등

---

2. 감염 방식 (공격 흐름)

① 가짜 사이트 유도

• 공격자는 CleanMyMac 공식 사이트처럼 보이는 페이지 제작
• 예: cleanmymacos[.]org 같은 유사 도메인 사용

② 사용자에게 Terminal 명령 실행 유도

페이지에서 다음 행동을 요구

Open Terminal → 명령어 붙여넣기 → Enter

 

이 명령이 실제로는

1. base64로 숨겨진 URL 복호화
2. 공격자 서버에서 shell script 다운로드
3. zsh로 즉시 실행

을 수행합니다.

이 기법을 ClickFix 공격이라고 합니다.

특징

• 사용자가 직접 실행하므로
• Gatekeeper / notarization 같은 macOS 보안 우회 가능

---

3. 감염 후 동작

감염되면 다음과 같은 활동을 수행합니다.

시스템 정보 수집

• IP 주소
• hostname
• macOS 버전
• 키보드 언어

수집 후 C2 서버로 전송 데이터 탈취, 다음 정보를 수집

 

[ 브라우저]

• Chrome 계열 10+
• Firefox

[ 수집 데이터 ]

• 비밀번호
• 쿠키
• 자동완성 데이터

[ 기타 ]

• Keychain
• Telegram 세션
• Apple Notes
• shell history

---

4. 암호화폐 지갑 공격 기능

이 악성코드의 특징은 지갑 백도어 삽입 기능입니다.

 

공격 대상 지갑 예시

• Exodus
• Atomic Wallet
• Ledger Live
• Ledger Wallet
• Trezor Suite

동작 방식

1. 지갑 프로그램 내부 파일(app.asar) 교체
2. 백도어 삽입
3. 지갑 열 때마다 다음 정보를 공격자 서버로 전송
   • 비밀번호
   • 시드 문구

---

5. 보안 관점에서 중요한 경고 신호

macOS에서 다음 상황이면 거의 100% 악성코드입니다.

• 프로그램 설치인데 Terminal 명령 붙여넣기 요구
• base64 인코딩 명령 실행
• curl | sh 형태
• 관리자 비밀번호 입력 요구

정상 macOS 앱은 Terminal 명령 복붙으로 설치되지 않습니다.

 

클릭픽스(ClickFix)

사용자가 직접 Terminal / PowerShell / CMD 등에 명령어를 붙여넣도록 유도하여 악성코드를 실행시키는 공격 방식

 

맥의 핵심 방어 기제인 게이트키퍼(Gatekeeper)와 공증(Notarization) 검증

macOS에서는 인터넷에서 다운로드한 프로그램이 안전한 개발자가 만든 것인지, 악성코드가 없는지를 확인하기 위해 두 가지 핵심 보안 검증을 사용합니다.

• Gatekeeper → 실행 전에 개발자 서명 확인
• Notarization → Apple이 사전에 악성코드 검사를 수행

런치에이전트(LaunchAgents)

macOS에서 사용자 로그인 시 자동으로 프로그램을 실행하도록 관리하는 설정 메커니즘입니다.
이 기능은 macOS의 launchd 서비스 관리 시스템의 일부입니다.