Script Editor 악용 및 GoogleUpdate 모방을 통한 macOS 지속성 확보 전략

Context

기존 SHub 변종들은 ClickFix 기법을 통해 사용자가 Terminal에 명령어를 입력하도록 유도하는 구조를 가짐. Apple이 macOS Tahoe 26.4에서 Terminal 기반 공격에 대한 방어 체계를 강화함에 따라 기존 진입 경로의 무력화라는 제약 상황이 발생함.

Technical Solution

• Terminal을 완전히 우회하여 Apple Script Editor를 실행 경로로 채택한 설계 변경
• ASCII art와 가짜 약관을 이용해 악성 페이로드를 화면 하단에 은닉하여 사용자의 시각적 인지 차단
• XProtectRemediator 보안 업데이트로 위장한 팝업을 통해 curl 명령어를 호출하고 쉘 스크립트를 다운로드하는 사회공학적 로직 구현
• ~/Library/Application Support/Google/GoogleUpdate.app 경로에 디렉토리 구조를 생성하여 정상 소프트웨어 업데이트 프로세스로 위장한 Persistence 메커니즘 설계
• LaunchAgent를 통해 60초 주기로 C2 서버의 /api/bot/heartbeat 엔드포인트에 시스템 정보를 전송하는 Beaconing 구조 채택
• C2 서버로부터 전달받은 'code' 페이로드를 디코딩 후 실행하고 즉시 삭제하는 휘발성 실행 구조를 통한 탐지 회피