1. 개요
- 최근 복사-붙여 넣기 기법을 활용한 ‘ClickFix’라 불리는 새로운 공격 발견 [1]
- 가짜 팝업 메시지의 버튼을 클릭하면 악성코드 또는 악의적 프로그램이 다운로드 되는 형태
2. 주요내용
2.1 ClickFix
- 유명 서비스를 위조해 문서나 페이지 내 긴급한 오류가 발생했다는 팝업 텍스트 상자를 표시
> 사용자를 속이기 위해 MS Office 문서나 Google Meet 등 유명 서비스를 위조해 페이지 내 팝업 표시
> 사용자가 직접 PowerShell(powershell.exe)이나 Windows 명령 프롬프트(cmd.exe)를 통해 실행하라는 메시지가 표시되며, "How to fix" 등의 버튼을 클릭하면 악의적 명령이 복사
2.2 악성 VBS 스크립트
- hxxps://googiedrivers[.]com/fix-error 파일에 VBScript가 포함되어 있으며 총 4개의 행위 수행
구분 | 설명 |
MSHTA 프로세스 체크 및 종료 | - WMIService를 사용하여 "mshta.exe" 프로세스가 실행 중인지 확인 하고 활성화되어 있으면 종료 ※ WMI (Windows Management Instrumentation) : Windows에서 시스템 및 네트워크 관리 작업을 수행하는 데 사용되는 기술로 다양한 하드웨어 및 소프트웨어 구성 요소를 관리하고 모니터링할 수 있는 인터페이스 제공 |
파일 다운로드 및 실행 | - stealc.exe, ram.exe를 임시 경로에(각각 tempPath, secondTempPath에 다운로드) 다운로드 및 실행 > 파일을 실행하여 Build #1 및 Build #2의 성공 여부를 확인한 후 상태를 서버로 전송 - stealc.exe > 정보 탈취 악성코드(Stealc)의 일종 > 사용자 시스템, 웹 브라우저, 암호화폐 지갑 등 민감정보를 수집 및 C2 서버 전송 - ram.exe > 정보 탈취 멀웨어(Rhadamanthys, Danabot) 추가 다운 및 실행 ※ 파일 다운로드 경로 > hxxps://us1web-com[.]us/stealc.exe > hxxps://us1web-com[.]us/ram.exe |
서버 통신 | - NotifyServer(status)를 사용해 특정 서버에 실행 상태를 보고하는 HTTP 요청을 전송 > 서버 URL: hxxp[://]webpalmland[.]com/api/cmd/runed |
공격자의 서버에 IP 주소와 상태 전송 | - GetExternalIPAddress() 함수를 호출하여 IP 확인 사이트에서 IP 주소를 검색하여 저장 및 공격자 서버로 전송 > 서버 URL: hxxp[://]webpalmland[.]com/api/cmd/runed |
2.3 결론
- 과거와 달리 웹 브라우저 보안이 강화되면서 웹 브라우저 취약점을 이용한 악성코드 배포가 어려워짐
> 사용자가 직접 다운로드 및 실행할 수 있는 형태로 점차 진화
> 사용자는 PowerShell(powershell.exe) 또는 명령 프롬프트(cmd.exe)에서 명령을 실행하도록 요청하는 팝업 주의할 필요
- 또한, 여러 정보 탈취 멀웨어를 다운로드 및 실행하는 형태
> 하나의 멀웨어가 탐지 및 제거되어도 다른 멀웨어를 사용해 지속 정보 수집
> 수집된 정보가 2차 피해로 이어질 수 있음
3. 참고
[1] https://blog.criminalip.io/2024/10/07/clickfix-fake-error-messages/
[2] https://www.boannews.com/media/view.asp?idx=133771&page=1&kind=1
'악성코드 > 분석' 카테고리의 다른 글
Malvertising 기법 (0) | 2024.12.16 |
---|---|
국내 및 중국 사용자 대상으로 유포되는 UULoader (0) | 2024.08.20 |
동아시아 사용자를 대상으로 유포되는 악성코드 (0) | 2024.06.21 |
z0Miner, 국내 WebLogic 서버 대상 공격 (0) | 2024.03.09 |
국내 보안 프로그램 위장 인포스틸러 트롤스틸러(Troll Stealer) (0) | 2024.02.15 |