복사 붙여넣기 기법 활용한 새로운 공격, ‘클릭픽스’ 주의!

2024-10-24 09:42
  • 카카오톡
  • 네이버 블로그
  • url
에이아이스페라 크리미널 IP팀...가짜 오류 메시지와 복붙 활용한 새로운 위협 주의 당부
‘ClickFix’ 공격...가짜 팝업 메시지 띄워 클릭 시 악성코드나 악의적 프로그램 다운로드돼


[보안뉴스 김영명 기자] 최근 복사-붙여넣기 기법을 활용한 ‘클릭픽스(ClickFix)’라 불리는 새로운 공격을 발견했다. 이는 모바일 인터넷 브라우저 사용 중에 ‘귀하의 아이폰이 해킹당했습니다’라는 가짜 팝업 메시지로, 팝업의 버튼을 클릭하면 악성코드나 악의적 프로그램이 다운로드 되는 형태의 공격이다.


▲ClickFix와 유사한 공격방식으로 나타나는 ‘귀하의 아이폰이 해킹당했습니다’ 가짜 브라우저 팝업[자료=에이아이스페라]

에이아이스페라(AI스페라) 크리미널 IP팀(Criminal IP)에 따르면 ‘클릭픽스’ 공격은 아이폰 해킹과 같은 가짜 팝업과 유사한 공격으로, MS Office 문서나 Google Meet 등 유명 서비스를 위조해 문서나 웹페이지 내에서 긴급한 오류가 발생했다는 팝업 텍스트 상자를 표시한다. 보호 또는 수리를 위해 ‘How to fix’ 등의 버튼을 클릭하게 되면 악의적인 명령을 사용자에게 복사시키고, 사용자가 직접 파워쉘(PowerShell) 터미널이나 MS 윈도(Windows) 명령 프롬프트 등을 통해 악의적인 명령을 실행하도록 유도한다.

특히 공격자는 클릭픽스 공격의 성공률을 높이기 위해 사용자가 신뢰할 수 있는 MS Office, Google Meet, Apple 등의 사이트로 위장하고 있어 사용자들의 세심한 주의가 필요하다.


▲GoogleMeet로 위장해 사용자에게 악의적 명령 실행을 유도하는 ClickFix 공격 사례[자료=에이아이스페라]

클릭픽스 공격 사례에서 발견된 구글 드라이버의 htm 파일에 존재하는 VBScript의 난독화를 해제한 후 분석한 악성 VB스크립트(VBScript)의 주요 행위는 MSHTA 프로세스 체크 및 종료, 파일 다운로드 및 실행, 서버와의 통신, 공격자의 서버에 IP 주소와 상태 전송 등 크게 4개로 파악되고 있다.

먼저 MSHTA 프로세스 체크 및 종료에서는 WMIService를 통해 mshta 실행파일 프로세스가 실행 중인지 확인하고, 실행 중이라면 프로세스를 종료한다.

두 번째로 파일 다운로드 및 실행에서 스크립트는 tempPath와 secondTempPath라는 두 임시 경로에 stealc 및 ram이라는 이름의 실행파일을 다운로드한다. 다운로드 후 이 파일을 곧바로 실행하며 Build #1 및 Build #2로 성공 여부를 확인하고 서버에 상태를 전송한다.

세 번째로 서버와의 통신에서 NotifyServer(status) 함수는 HTTP 요청을 보내 특정 서버에 실행 상태를 보고하는 기능을 수행한다.

마지막으로 공격자의 서버에 IP 주소와 상태 전송이다. 공격에서는 GetExternalIPAddress() 함수를 호출한 후 IP 확인 사이트를 통해 확인된 IP 주소를 저장한다. 그 이후 특정 주소로 상태를 전송한다.

Stealc는 데이터 전송, ram은 악성코드 실행 역할
다운로드 된 두 개의 실행파일인 Stealc와 ram은 각각의 역할을 하게 된다. 먼저 첫 번째 파일인 stealc 실행파일은 정보 탈취(Stealer) 악성코드의 일종인 Stealc로, 사용자의 시스템, 웹 브라우저, 암호화폐 지갑 등 민감한 데이터 정보를 수집해 C2 서버에 전송하는 역할을 한다. 두 번째 파일인 ram 실행파일은 정보탈취(Stealer) 악성코드인 Rhadamanthys와 Danabot을 Drop해 실행한다.


▲VirusTotal로 확인한 Rhadamanthys와 Danabot 악성코드[자료=에이아이스페라]

악성코드는 동작하는 과정에서 C2 서버와 통신을 하는데, 이 IP 주소에 대해 Criminal IP를 포함한 모든 보안업체가 탐지하지 못하고 있다. 그 대신 Criminal IP의 해당 IP 주소 리포트에서는 해당 IP 주소가 9078 비표준 포트를 통해 Microsoft-IIS 8.0서버에서 nginx를 구동하고 있는 것을 확인할 수 있다.

이뿐만 아니라 해당 IP 주소에서 사용하는 제품에는 취약점 6개가 존재하고, 1개의 정책 위반 및 원격 주소가 활성화되어 있는 것을 확인할 수 있다. 이를 통해 해당 IP 주소가 악용돼 사용될 가능성이 크다는 것을 알 수 있다. 이러한 판단 근거가 되는 여러 가지 데이터들을 확인하여 의심 IP 주소에 대한 의사 결정을 빠르게 할 수 있다.

브라우저를 악용한 악성코드 배포 공격 기법은 과거와 달리 웹 브라우저 보안이 강화되면서 웹 브라우저 취약점을 이용한 악성코드 배포가 어려워지면서 사용자가 직접 다운로드해 실행할 수 있는 형태로 점차 진화하고 있다. 클릭픽스 공격 사례는 이러한 공격 기법의 발전을 보여주는 사례 중 하나로, 사용자들은 직접 파워쉘 터미널이나 윈도 명령 프롬프트로 명령어를 실행하라는 팝업 및 안내 메시지를 발견할 시 주의가 필요하다.


▲Criminal IP AI-based Phishing Link Checker 확장프로그램으로 차단된 악성 도메인[자료=에이아이스페라]

또한 여러 개의 정보탈취 악성코드(Stealer)를 다운로드하고 실행하며, 실행 중인 한 개의 정보탈취 악성코드가 탐지 및 삭제되어도 생존한 정보탈취 악성코드(Stealer)를 통해 지속해서 사용자의 정보를 수집할 수 있다. 수집된 정보는 다크웹 등에서 판매되어 보이스피싱 등의 2차 피해로 이어질 수 있다는 점에서 더욱 큰 위협이라 할 수 있다.

에이아이스페라 분석팀은 “이번에 발견된 클릭픽스 공격 유형은 인터넷 사용 중 의심스러운 브라우저 팝업이나 메시지가 보일 경우, 접속 중인 페이지의 URL을 Criminal IP Domain Search에 입력해 스캔하면 악성 도메인 여부를 알 수 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기