‘ClickFix’ 공격...가짜 팝업 메시지 띄워 클릭 시 악성코드나 악의적 프로그램 다운로드돼
[보안뉴스 김영명 기자] 최근 복사-붙여넣기 기법을 활용한 ‘클릭픽스(ClickFix)’라 불리는 새로운 공격을 발견했다. 이는 모바일 인터넷 브라우저 사용 중에 ‘귀하의 아이폰이 해킹당했습니다’라는 가짜 팝업 메시지로, 팝업의 버튼을 클릭하면 악성코드나 악의적 프로그램이 다운로드 되는 형태의 공격이다.
▲ClickFix와 유사한 공격방식으로 나타나는 ‘귀하의 아이폰이 해킹당했습니다’ 가짜 브라우저 팝업[자료=에이아이스페라]
에이아이스페라(AI스페라) 크리미널 IP팀(Criminal IP)에 따르면 ‘클릭픽스’ 공격은 아이폰 해킹과 같은 가짜 팝업과 유사한 공격으로, MS Office 문서나 Google Meet 등 유명 서비스를 위조해 문서나 웹페이지 내에서 긴급한 오류가 발생했다는 팝업 텍스트 상자를 표시한다. 보호 또는 수리를 위해 ‘How to fix’ 등의 버튼을 클릭하게 되면 악의적인 명령을 사용자에게 복사시키고, 사용자가 직접 파워쉘(PowerShell) 터미널이나 MS 윈도(Windows) 명령 프롬프트 등을 통해 악의적인 명령을 실행하도록 유도한다.
특히 공격자는 클릭픽스 공격의 성공률을 높이기 위해 사용자가 신뢰할 수 있는 MS Office, Google Meet, Apple 등의 사이트로 위장하고 있어 사용자들의 세심한 주의가 필요하다.
▲GoogleMeet로 위장해 사용자에게 악의적 명령 실행을 유도하는 ClickFix 공격 사례[자료=에이아이스페라]
클릭픽스 공격 사례에서 발견된 구글 드라이버의 htm 파일에 존재하는 VBScript의 난독화를 해제한 후 분석한 악성 VB스크립트(VBScript)의 주요 행위는 MSHTA 프로세스 체크 및 종료, 파일 다운로드 및 실행, 서버와의 통신, 공격자의 서버에 IP 주소와 상태 전송 등 크게 4개로 파악되고 있다.
먼저 MSHTA 프로세스 체크 및 종료에서는 WMIService를 통해 mshta 실행파일 프로세스가 실행 중인지 확인하고, 실행 중이라면 프로세스를 종료한다.
두 번째로 파일 다운로드 및 실행에서 스크립트는 tempPath와 secondTempPath라는 두 임시 경로에 stealc 및 ram이라는 이름의 실행파일을 다운로드한다. 다운로드 후 이 파일을 곧바로 실행하며 Build #1 및 Build #2로 성공 여부를 확인하고 서버에 상태를 전송한다.
세 번째로 서버와의 통신에서 NotifyServer(status) 함수는 HTTP 요청을 보내 특정 서버에 실행 상태를 보고하는 기능을 수행한다.
마지막으로 공격자의 서버에 IP 주소와 상태 전송이다. 공격에서는 GetExternalIPAddress() 함수를 호출한 후 IP 확인 사이트를 통해 확인된 IP 주소를 저장한다. 그 이후 특정 주소로 상태를 전송한다.
Stealc는 데이터 전송, ram은 악성코드 실행 역할
다운로드 된 두 개의 실행파일인 Stealc와 ram은 각각의 역할을 하게 된다. 먼저 첫 번째 파일인 stealc 실행파일은 정보 탈취(Stealer) 악성코드의 일종인 Stealc로, 사용자의 시스템, 웹 브라우저, 암호화폐 지갑 등 민감한 데이터 정보를 수집해 C2 서버에 전송하는 역할을 한다. 두 번째 파일인 ram 실행파일은 정보탈취(Stealer) 악성코드인 Rhadamanthys와 Danabot을 Drop해 실행한다.
▲VirusTotal로 확인한 Rhadamanthys와 Danabot 악성코드[자료=에이아이스페라]
악성코드는 동작하는 과정에서 C2 서버와 통신을 하는데, 이 IP 주소에 대해 Criminal IP를 포함한 모든 보안업체가 탐지하지 못하고 있다. 그 대신 Criminal IP의 해당 IP 주소 리포트에서는 해당 IP 주소가 9078 비표준 포트를 통해 Microsoft-IIS 8.0서버에서 nginx를 구동하고 있는 것을 확인할 수 있다.
이뿐만 아니라 해당 IP 주소에서 사용하는 제품에는 취약점 6개가 존재하고, 1개의 정책 위반 및 원격 주소가 활성화되어 있는 것을 확인할 수 있다. 이를 통해 해당 IP 주소가 악용돼 사용될 가능성이 크다는 것을 알 수 있다. 이러한 판단 근거가 되는 여러 가지 데이터들을 확인하여 의심 IP 주소에 대한 의사 결정을 빠르게 할 수 있다.
브라우저를 악용한 악성코드 배포 공격 기법은 과거와 달리 웹 브라우저 보안이 강화되면서 웹 브라우저 취약점을 이용한 악성코드 배포가 어려워지면서 사용자가 직접 다운로드해 실행할 수 있는 형태로 점차 진화하고 있다. 클릭픽스 공격 사례는 이러한 공격 기법의 발전을 보여주는 사례 중 하나로, 사용자들은 직접 파워쉘 터미널이나 윈도 명령 프롬프트로 명령어를 실행하라는 팝업 및 안내 메시지를 발견할 시 주의가 필요하다.
▲Criminal IP AI-based Phishing Link Checker 확장프로그램으로 차단된 악성 도메인[자료=에이아이스페라]
또한 여러 개의 정보탈취 악성코드(Stealer)를 다운로드하고 실행하며, 실행 중인 한 개의 정보탈취 악성코드가 탐지 및 삭제되어도 생존한 정보탈취 악성코드(Stealer)를 통해 지속해서 사용자의 정보를 수집할 수 있다. 수집된 정보는 다크웹 등에서 판매되어 보이스피싱 등의 2차 피해로 이어질 수 있다는 점에서 더욱 큰 위협이라 할 수 있다.
에이아이스페라 분석팀은 “이번에 발견된 클릭픽스 공격 유형은 인터넷 사용 중 의심스러운 브라우저 팝업이나 메시지가 보일 경우, 접속 중인 페이지의 URL을 Criminal IP Domain Search에 입력해 스캔하면 악성 도메인 여부를 알 수 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>