파일 업로드 기능 위장한 피싱…주소창 복사·붙여넣기로 악성 명령 유발
해시(#) 뒤 더미 경로 숨겨…파워셸 명령 실행·파일 업로드 차단 이중전략
복잡한 악성코드 불필요…시스템 신뢰만으로 랜섬웨어·정보유출 가능

[보안뉴스 여이레 기자] 우리에게 익숙한 윈도우 파일 탐색기를 악용해 악성 명령을 실행하는 신종 취약점 공격 수법 ‘파일픽스’(FileFix)가 발견됐다.


[자료: gettyimagesbank]

이 공격은 기존 클릭픽스(ClickFix) 사회공학 기법을 발전시킨 형태다. 기존 클릭픽스 공격은 웹사이트에서 버튼을 클릭하면 악성 파워셸 명령이 클립보드에 복사되고, 사용자가 이를 실행 대화창(Win+R)이나 명령 프롬프트에 붙여 넣도록 유도했다. 반면 파일픽스는 웹사이트에서 흔히 볼 수 있는 파일 업로드 기능을 활용한다.

파일픽스 공격은 피싱 페이지에서 ‘파일 공유 알림’ 등으로 위장해 사용자가 특정 경로를 파일 탐색기 주소창에 붙여 넣도록 유도한다.

공격자가 제시한 파일 경로는 ‘C:\company\internal-secure\filedrive\HRPolicy.docx’와 같이 평범해 보이지만 실제로 클립보드에 복사되는 내용은 ‘Powershell.exe -c ping example.com # C:\company\internal-secure\filedrive\HRPolicy.docx’로 주석 해시(#) 뒤에 더미 파일 경로를 연결해 악성 파워셸 명령을 숨긴다.

사이버보안 연구원 ‘mr.d0x’가 해당 스크립트를 분석한 결과, 이 스크립트는 사용자가 파일을 업로드할 수 없도록 하고, 대신 공격자의 지시를 반복적으로 따르도록 유도한다.

파일픽스 공격은 정상적이고 믿을만한 시스템 기능조차 공격자에 의해 무기화될 수 있음을 보여준다는 평가다. 사용자가 신뢰하는 윈도우 탐색기를 악용하고 별도 권한 상승이나 복잡한 악성 코드 없이 단순한 사회공학과 사용자 신뢰만으로 공격을 가능하게 만든 것이 특징이다.

전문가들은 파일픽스가 정보 유출, 랜섬웨어, 기타 멀웨어를 전달하는데 사용될 수 있으며 개인과 조직 모두에게 심각한 위협이 된다고 경고하면서 출처가 불분명한 파일 경로나 명령어 복사·붙여넣기 지시를 주의할 것을 권고했다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>