AppleScript 기반 macOS 정보 탈취 공격 및 14종 브라우저/16종 지갑 데이터 유출

Context

사용자의 심리적 허점을 이용한 ClickFix 소셜 엔지니어링 기법의 확산 User-Agent 필터링을 통한 OS별 맞춤형 Payload 전달 체계 구축

Technical Solution

• Client-side JavaScript를 활용한 User-Agent 기반 타겟 OS 식별 및 모바일 기기 배제
• Spotlight 검색창에 curl 명령어를 입력하게 유도하여 외부 C2 서버로부터 악성 AppleScript 다운로드 및 실행
• /tmp/xdivcmp/ 임시 디렉토리를 통한 탈취 데이터 스테이징 및 C2 서버 전송 구조 설계
• macOS 시스템 락 아이콘을 모방한 Fake Dialog Box 구현으로 시스템 권한 패스워드 획득 유도
• macOS Directory Services Authentication을 통한 실시간 패스워드 유효성 검증 및 무한 루프 강제 입력 로직 적용
• Chromium 기반 브라우저 12종의 프로필 경로 분석을 통한 Session Token, Cookie 및 200여 개 확장 프로그램 데이터 추출

Impact

• 14종의 브라우저 및 16종의 단독 실행형 Cryptocurrency Wallet 데이터 탈취
• 200개 이상의 브라우저 확장 프로그램 및 Password Manager(LastPass, 1Password 등) 정보 유출

Key Takeaway

사용자의 실행 권한을 이용한 명령어 주입 공격은 전통적인 보안 솔루션을 우회하므로 OS 레벨의 명령어 실행 경고 및 입력 제한 설계가 필수적임