SHub macOS 인포스틸러 변종, 애플 보안 업데이트를 위장

출처: Bleeping Computer

SHub macOS 인포스틸러의 새로운 “Reaper” 변종

새로운 SHub macOS 인포스틸러 변종이 AppleScript를 이용해 가짜 보안 업데이트 메시지를 표시하고 백도어를 설치합니다.

Reaper라 명명된 이번 버전은:

• 민감한 브라우저 데이터 탈취
• 재무 정보를 포함할 수 있는 문서 및 파일 수집
• 암호화폐 지갑 앱 탈취

이전 SHub 캠페인이 “ClickFix” 기법—사용자를 속여 터미널에 명령을 붙여넣고 실행하도록 유도—에 의존했던 것과 달리, Reaper는 applescript:// URL 스킴을 사용해 악성 AppleScript가 미리 로드된 macOS Script Editor를 실행합니다.

이 방식은 3월 말 macOS Tahoe 26.4와 함께 Apple이 도입한 터미널 기반 방어책을 우회합니다. 해당 방어책은 잠재적으로 위험한 명령어의 붙여넣기와 실행을 차단했습니다.

배포

SentinelOne 연구원들은 새로운 SHub 인포스틸러 변종을 식별했으며, 사용자가 WeChat 및 Miro 애플리케이션의 가짜 설치 프로그램으로 유인된 것을 발견했습니다. 이 설치 파일은 덜 숙련된 사용자를 속이기 위해 합법적인 도메인처럼 보이도록 만든 주소에서 호스팅됩니다. 예시:

• qq-0732gwh22[.]com

• mlcrosoft[.]co[.]com

• mlroweb[.]com

• 현재 가짜 QQ와 Microsoft 도메인은 여전히 가짜 WeChat 설치 프로그램을 제공합니다.

• Miro 시각 협업 플랫폼을 사칭하는 도메인은 정식 웹사이트로 리다이렉트됩니다.

BleepingComputer은 Windows와 Android용 다운로드 버튼이 동일한 실행 파일을 Dropbox 계정에 호스팅하고 있음을 확인했습니다.

AppleScript를 실행하기 전에 악성 웹사이트는 방문자의 장치를 지문 인식하여 가상 머신 및 VPN(분석용 머신의 지표) 여부를 확인하고, 비밀번호 관리자와 암호화폐 지갑 브라우저 확장 프로그램을 열거합니다. 모든 텔레메트리 데이터는 Telegram 봇을 통해 공격자에게 전송됩니다.

SentinelOne 보고서에 따르면, 페이로드를 가져오는 명령을 포함한 스크립트는 동적으로 구성되며 ASCII 아트 아래에 숨겨져 있습니다.

악성 AppleScript

출처: SentinelOne

피해자가 Run을 클릭하면 스크립트는 다음을 수행합니다.

1. XProtectRemediator를 언급하는 가짜 Apple 보안 업데이트 메시지를 표시합니다.
2. curl을 사용해 쉘 스크립트를 다운로드합니다.
3. zsh로 조용히 실행합니다.

러시아어 키보드 확인

데이터 탈취 로직을 배포하기 전에, 악성코드는 피해자가 러시아어 키보드/입력 레이아웃을 사용하는지 확인합니다. 일치할 경우 cis_blocked 이벤트를 C2 서버에 보고하고 시스템을 감염시키지 않고 종료합니다.

호스트가 러시아어가 아닌 경우, Reaper는 내장 osascript 명령줄 도구를 이용해 악성 AppleScript와 데이터 탈취 루틴을 가져와 실행합니다.

자격 증명 수집

스크립트가 실행되면 사용자의 macOS 비밀번호를 입력하라는 프롬프트가 표시됩니다. 이 비밀번호를 통해 다음을 수행할 수 있습니다.

• 키체인 항목 접근
• 자격 증명 복호화
• 보호된 데이터 접근

인포스틸러는 이후 다음을 목표로 합니다.

• Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc, Orion 등 브라우저 데이터
• 암호화폐 지갑 확장 (MetaMask, Phantom)
• 비밀번호 관리자 확장 (1Password, Bitwarden, LastPass)
• 데스크톱 암호화폐 지갑 애플리케이션 (Exodus, Atomic Wallet, Ledger Live, Electrum, Trezor Suite)
• iCloud 계정 데이터
• Telegram 세션 데이터
• 개발자 관련 설정 파일

Filegrabber 모듈

출처: SentinelOne

이 모듈은 Desktop 및 Documents 폴더를 검색해 민감한 정보를 담고 있을 가능성이 높은 파일 유형을 찾습니다. 수집 대상:

• 2 MB 이하 (PNG 이미지는 6 MB 이하) 파일
• 총 용량 150 MB 제한

지갑 탈취

지갑 애플리케이션이 존재할 경우, Reaper는 다음 절차로 탈취합니다.

1. 지갑 프로세스를 종료합니다.
2. 정품 코어 애플리케이션 파일을 C2 서버에서 다운로드한 악성 app.asar 파일로 교체합니다.

Gatekeeper 경고를 피하기 위해 악성코드는 다음을 수행합니다.

• xattr -cr 로 격리 속성 삭제
• 수정된 애플리케이션 번들에 ad‑hoc 코드 서명 적용

출처: SentinelOne

지속성

SentinelOne은 악성코드가 다음과 같이 지속성을 확보한다고 경고합니다.

• Google Software Update를 사칭하는 스크립트를 설치
• 이를 LaunchAgent 로 등록해 매분 실행

이 스크립트는 비콘 역할을 하여 시스템 정보를 C2에 전송합니다. 페이로드가 수신되면 현재 사용자 컨텍스트에서 디코딩·실행하고 파일을 삭제해 공격자의 장기 접근 권한을 확보합니다.

연구진은 SHub 운영자가 인포스틸러 기능을 원격 접근까지 확장하고 있어 추가 악성코드 전달이 가능해질 수 있다고 지적했습니다.

침해 지표(IOC) 및 권고 사항

SentinelOne은 새로운 SHub Reaper 변종을 탐지하기 위한 해시, 도메인, URL 등 IOCs 세트를 제공합니다.

권고 사항

• Script Editor 실행 후 의심스러운 외부 트래픽을 모니터링
• 신뢰할 수 있는 공급업체 네임스페이스 내 새로운 LaunchAgents 및 관련 파일 감시
• 열거된 악성 도메인 및 Telegram 봇 엔드포인트와의 연결을 차단

검증 격차

The Validation Gap: Automated Pentesting Answers One Question. You Need Six.

자동화된 펜테스트 도구는 실제 가치를 제공하지만, “공격자가 네트워크를 횡단할 수 있는가?”라는 한 가지 질문에만 답하도록 설계되었습니다. 방어 체계가 위협을 차단하는지, 탐지 규칙이 작동하는지, 클라우드 설정이 안전한지는 검증되지 않았습니다.

이 가이드는 그 격차를 메우는 방법과 실제로 검증해야 할 여섯 가지 영역을 다룹니다.

지금 다운로드