Contents
see List이번 영상은 SHub Reaper macOS 인포스틸러가 Apple 보안 업데이트처럼 보이는 화면을 악용해 비밀번호, 브라우저 데이터, 암호화폐 지갑, 문서 파일을 훔치는 흐름을 정리한 콘텐츠입니다. 단순히 수상한 터미널 명령어를 붙여넣게 만드는 방식이 아니라, applescript:// 링크로 Script Editor를 열고 사용자가 Run을 누르게 만드는 점이 핵심입니다.
겉으로는 Apple의 XProtectRemediator 보안 업데이트처럼 보일 수 있지만, 실제로는 숨겨진 AppleScript가 원격 스크립트를 내려받고 실행하는 구조입니다. 공격자는 가짜 WeChat, Miro 설치 페이지를 미끼로 쓰고, Microsoft처럼 보이는 오타 도메인까지 섞어 사용자의 경계를 낮춥니다. 보안 업데이트, 유명 앱, 익숙한 브랜드가 한 번에 등장하기 때문에 Mac 사용자도 방심하기 쉽습니다.
감염 전 단계에서도 위험한 동작이 있습니다. 악성 페이지는 방문자의 브라우저 환경을 확인하고 1Password, Bitwarden, LastPass 같은 비밀번호 관리자와 MetaMask, Phantom 같은 암호화폐 지갑 확장을 찾습니다. 사용자가 실행을 허용하면 Chrome, Firefox, Brave, Edge, Arc 등의 브라우저 데이터와 Keychain, iCloud, Telegram 세션 정보까지 노릴 수 있습니다.
Reaper 변종은 여기서 멈추지 않습니다. Desktop과 Documents 폴더에서 .docx, .csv, .json, .rdp 같은 업무·금융 관련 파일을 찾아 최대 150MB까지 수집할 수 있고, Exodus, Atomic, Ledger Live, Trezor Suite 같은 지갑 앱이 있으면 내부 파일을 바꿔치기해 이후 거래까지 노릴 수 있습니다. 또한 Google Software Update처럼 보이는 LaunchAgent를 만들어 60초마다 서버와 통신하는 백도어를 남깁니다.
기업과 개인 모두 확인해야 할 포인트는 명확합니다. 설치 파일은 공식 사이트에서만 받고, Script Editor가 갑자기 열리거나 Run을 요구하면 중단해야 합니다. 새 Login Item, 의심스러운 LaunchAgent, 낯선 GoogleUpdate 경로, Script Editor 이후의 이상한 네트워크 연결은 반드시 점검해야 합니다. Mac은 안전하다는 막연한 믿음보다, 실행 경로와 권한 요청을 보는 습관이 더 중요합니다.
짧은 영상에서는 공격 흐름, 훔쳐가는 정보, 사용자가 바로 확인할 보안 포인트를 빠르게 정리했습니다. 전체 내용은 아래 YouTube Shorts에서 확인할 수 있습니다.