다중 라이센스 할인 견적
위협 데이터베이스 맥 맬웨어 SHub Stealer

SHub Stealer

맥 맬웨어, 도둑들년에 Mezo 년까지
번역 :

SHub는 macOS 시스템을 공격하도록 특별히 설계된 정교한 정보 탈취 악성 프로그램입니다. 주요 목표는 브라우저, 암호화폐 지갑 및 다양한 시스템 구성 요소에서 민감한 정보를 추출하는 것입니다. 이 위협은 자격 증명 탈취, 암호화폐 공격 및 지속적인 접근 메커니즘을 단일 캠페인에 결합하기 때문에 특히 위험합니다.

이 악성 프로그램은 사용자를 속여 악성 명령을 실행하도록 유도하는 교묘한 수법으로 유포되는 경우가 많습니다. 활성화되면 SHub는 사용자 모르게 중요한 데이터를 수집하고 감염된 기기에 장기간 접근 권한을 유지할 수 있습니다. 수집할 수 있는 정보의 양이 방대하기 때문에 이 위협은 금전적 손실, 신원 도용, 계정 침해 등 심각한 위험을 초래할 수 있습니다. 시스템에서 SHub가 발견되면 즉시 제거해야 합니다.

초기 감염 및 시스템 검증

감염 과정은 피해자의 Mac에서 실행되는 로더로 시작됩니다. 이 로더는 전체 악성코드 페이로드를 배포하기 전에 시스템에 대한 몇 가지 검사를 수행합니다. 그중 가장 중요한 검사는 러시아어 키보드 레이아웃이 시스템에 있는지 확인하는 것입니다. 만약 러시아어 키보드가 감지되면 악성코드는 실행을 중단하고 이 정보를 공격자에게 보고합니다.

검증 단계가 성공적으로 완료되면 로더는 시스템의 기본 정보를 수집하여 공격자의 인프라로 전송합니다. 이러한 정보에는 장치의 IP 주소, 호스트 이름, macOS 버전 및 키보드 언어 설정이 포함됩니다. 공격자는 이 정보를 통해 감염된 시스템의 특성을 파악한 후 추가 작업을 진행할 수 있습니다.

이후 악성 프로그램은 정상적인 macOS 암호 입력 창으로 위장한 스크립트를 다운로드합니다. 이 가짜 창은 마치 평소처럼 사용자에게 시스템 암호를 입력하라고 요구합니다. 피해자가 암호를 입력하면 공격자는 저장된 암호, Wi-Fi 자격 증명, 개인 암호화 키와 같은 매우 민감한 정보가 보관된 macOS 키체인을 잠금 해제할 수 있게 됩니다.

브라우저와 지갑에서 광범위한 데이터 수집

시스템 접근 권한이 확보되면 SHub는 웹 브라우저와 암호화폐 애플리케이션에 저장된 중요 데이터를 찾기 위해 장치를 스캔하기 시작합니다. 이 악성 프로그램은 Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi, Coccoc 등 다양한 Chromium 기반 브라우저를 대상으로 합니다. 또한 Firefox도 공격 대상으로 삼습니다.

이 악성 프로그램은 해당 브라우저에서 저장된 자격 증명, 쿠키, 자동 완성 정보 및 기타 프로필 데이터를 모든 사용자 프로필에서 추출합니다. 또한 설치된 브라우저 확장 프로그램을 검사하여 암호화폐 지갑 확장 프로그램을 찾습니다.

SHub는 100개 이상의 알려진 암호화폐 지갑에서 정보를 탈취할 수 있습니다. 예를 들어 Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom, Trust Wallet 등이 있습니다. 공격자는 이러한 확장 프로그램에 접근하여 인증 토큰, 지갑 접근 데이터 및 암호화폐 계정과 관련된 기타 민감한 정보를 얻을 수 있습니다.

데스크톱 암호화폐 애플리케이션을 대상으로 합니다.

SHub은 브라우저 기반 지갑 외에도 시스템에 설치된 데스크톱 암호화폐 지갑 애플리케이션을 집중적으로 공격합니다. 이 악성 프로그램은 Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite, Wasabi 등 수많은 지갑에서 데이터를 수집합니다.

이러한 애플리케이션에서 추출된 민감한 데이터에는 지갑 자격 증명, 개인 키 및 기타 인증 정보가 포함될 수 있습니다. 이러한 데이터는 공격자가 암호화폐 보유 자산을 직접 제어할 수 있도록 해줍니다.

SHub은 지갑 소프트웨어 외에도 macOS 환경에서 다양한 형태의 민감한 정보를 수집합니다. macOS 키체인, iCloud 계정 정보, Safari 쿠키 및 검색 기록, Apple Notes 데이터베이스, Telegram 세션 파일에서 데이터를 추출합니다. 또한 .zsh_history, .bash_history, .gitconfig 파일도 복사합니다. 이러한 파일은 명령 기록이나 구성 설정에 API 키, 인증 토큰 또는 기타 개발자 자격 증명이 저장되어 있을 수 있기 때문에 특히 중요합니다.

지갑 조작을 통한 지속적인 데이터 탈취

SHub은 단순히 저장된 정보를 수집하는 것 이상의 일을 합니다. 최초 침해 이후에도 지속적인 데이터 탈취를 유지하기 위해 특정 암호화폐 지갑 애플리케이션을 변조할 수도 있습니다.

악성코드가 Atomic Wallet, Exodus, Ledger Live, Ledger Wallet 또는 Trezor Suite와 같은 지갑을 감지하면 'app.asar'이라는 핵심 애플리케이션 구성 요소를 악성 버전으로 교체합니다. 이렇게 변조된 파일은 백그라운드에서 조용히 실행되지만, 사용자 입장에서는 지갑 애플리케이션이 정상적으로 작동하는 것처럼 보입니다.

이러한 변조를 통해 감염된 지갑 애플리케이션은 공격자에게 민감한 정보를 계속 전송합니다. 탈취된 데이터에는 지갑 비밀번호, 시드 구문, 복구 구문 등이 포함될 수 있습니다. 악성코드의 일부 변종은 가짜 복구 메시지나 보안 업데이트 메시지를 표시하여 사용자가 시드 구문을 직접 입력하도록 유도할 수 있습니다.

지속성 및 원격 제어 기능

SHub는 감염된 시스템에 장기간 접근하기 위해 공격자가 감염된 기기와 통신할 수 있도록 백도어 메커니즘을 설치합니다. 이 악성 프로그램은 'com.google.keystone.agent.plist'라는 이름의 백그라운드 작업을 생성합니다. 이 이름은 구글의 공식 업데이트 서비스와 유사하게 의도적으로 선택되어 탐지 가능성을 낮춥니다.

이 백그라운드 작업이 실행될 때마다 숨겨진 스크립트가 실행되어 Mac의 고유 하드웨어 식별자를 원격 서버로 전송하고 공격자의 지시 사항을 확인합니다. 이러한 기능을 통해 공격자는 원격으로 장치를 제어하고 필요에 따라 추가 명령을 실행할 수 있습니다.

설치 과정에서 피해자가 알아채지 못하도록 악성 프로그램은 애플리케이션이 지원되지 않는다는 기만적인 오류 메시지를 표시합니다. 이 메시지로 인해 사용자는 설치 과정이 실패했다고 생각하지만, 실제로는 악성 프로그램이 이미 성공적으로 배포된 상태입니다.

ClickFix 기법을 통한 배포

SHub의 주요 유포 방식은 소셜 엔지니어링과 ClickFix라는 기법을 이용합니다. 이 캠페인에서 공격자는 정식 CleanMyMac 소프트웨어 사이트를 모방한 사기 웹사이트를 만듭니다. 방문자는 정품 애플리케이션을 다운로드하는 것으로 착각하지만, 실제 사용자에게는 이상한 설치 지침이 표시됩니다.

사용자는 일반 설치 파일 대신 macOS 터미널을 열고 명령어를 붙여넣어 설치 과정을 완료하라는 안내를 받습니다. 이 명령어가 실행되면 숨겨진 스크립트가 다운로드되어 실행되고, 이 스크립트가 SHub 악성코드를 설치합니다.

공격 과정은 일반적으로 다음과 같이 진행됩니다.

  • 피해자는 CleanMyMac 다운로드 페이지를 사칭하는 가짜 웹사이트에 접속합니다.
  • 해당 사이트는 설치 과정의 일부로 터미널을 열고 제공된 명령어를 붙여넣으라고 사용자에게 안내합니다.
  • 해당 명령어를 실행하면 시스템에 SHub를 설치하는 숨겨진 스크립트가 다운로드되어 실행됩니다.

피해자가 이러한 단계를 수동으로 수행하기 때문에 공격자는 기존의 보안 경고를 우회할 수 있습니다.

보안 위험 및 잠재적 결과

SHub는 광범위한 데이터 수집 기능과 장기적인 지속성 때문에 macOS 사용자에게 심각한 위협이 됩니다. 설치되면 민감한 정보를 몰래 수집하고 공격자에게 감염된 기기에 대한 지속적인 원격 접근 권한을 제공할 수 있습니다.

이 악성 소프트웨어의 피해자는 다음과 같은 다양한 결과를 직면할 수 있습니다.

  • 해킹당한 지갑 애플리케이션을 통한 암호화폐 도난
  • 도난당한 개인 정보 및 자격 증명으로 인한 신분 도용
  • 온라인 계정 및 서비스에 대한 무단 접근
  • API 키 또는 인증 토큰과 같은 개발자 비밀 정보 노출

SHub이 수집할 수 있는 정보의 규모를 고려할 때 감염 예방은 매우 중요합니다. 사용자는 소프트웨어를 다운로드할 때 주의를 기울이고, 신뢰할 수 없는 출처의 명령어를 실행하지 않으며, 다운로드를 제공하는 웹사이트가 합법적인지 확인해야 합니다. 추가적인 데이터 유출을 막기 위해서는 악성코드를 조기에 발견하고 즉시 제거하는 것이 필수적입니다.

트렌드

자레우스 랜섬웨어

랜섬웨어
사이버 범죄자들은 ZareuS Ransomware로 추적되는 새로운 맬웨어 위협으로 컴퓨터 사용자의 개인 데이터를 표적으로 삼고 있습니다. 위협 요소는 충분히 강력한 암호화 알고리즘을 사용하여 감염된 장치에 저장된 파일을 잠급니다. 영향을 받는 사용자는 거의 모든 문서, 데이터베이스, 아카이브, 사진, 오디오 및 비디오 파일 등에 액세스할 수...

Precludestore.com

불량 웹사이트, 브라우저 하이재커
Precludestore.com은 신뢰할 수 없는 것으로 간주되는 제휴 링크가 있는 사기성 웹사이트로 식별됩니다. 사용자는 일반적으로 비디오 스트리밍, 소셜 미디어 스크롤, 기타 인터넷 작업 참여 등 일상적인 온라인 활동 중에 URL을 표시하는 예상치 못한 팝업 광고를 통해 이 사이트를 발견합니다. 브라우저를 닫으면 이러한 팝업이 일시적으로 제거될 수...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
38,010
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,425
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
31,052
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...