목차
ClickFix 공격 이란
가짜 팝업 메시지 클릭을 유도해, 악성코드 복사 - 붙여넣기 실행 시도
ClickFix 공격 방식
사용자가 팝업 텍스트 상자 How to fix 와 같은 버튼을 클릭하면 자신도 모르게 악성 명령을 복사한 다음 PowerShell(powershell.exe) 또는 Windows 명령 프롬프트(cmd.exe)를 통해 실행하라는 메시지가 표시됩니다.
조사된 ClickFix 공격에는 https[://]googiedrivers[.]com/fix-error 파일에 포함된 악성 VBScript가 포함되었습니다.
- MSHTA 프로세스 확인 및 종료 :
- 스크립트는 WMIService를 사용하여 [1]“mshta[.]exe” 프로세스가 실행 중인지 확인하고 활성화되어 있으면 종료합니다.
- 파일 다운로드 및 실행 :
- 두 개의 파일 stealc.exe 와 ram.exe 가 임시 경로에 다운로드되어 실행됩니다.
다운로드 URL은 다음과 같습니다. - hxxps[://]us1web-com[.]us/stealc.exe (2260a3c1382cb6af852ec6135418ece6ceb004b9e214c2efa4ad4d8fbcbaf974)
stealc.exe는 피해자의 시스템, 웹 브라우저, 암호화폐 지갑 등에서 민감한 데이터를 수집해 C2 서버로 전송하도록 설계된 스틸러 맬웨어입니다. - hxxps[://]us1web-com[.]us/ram.exe (643154bb39c7ff8ff6439b2ac6f07ae34caac9694632219d58614ec983d3b72b)
ram.exe는 추가적인 스틸러 맬웨어를 삭제하고 실행하도록 설계되었습니다. - 다운로드 후 stealc.exe 및 ram.exe 파일이 실행되고, 성공 여부가 확인된 후 상태가 서버로 전송됩니다.
- 두 개의 파일 stealc.exe 와 ram.exe 가 임시 경로에 다운로드되어 실행됩니다.
95.182.97.58 - IP Scoring: Inbound Dangerous, Outbound Moderate, France | Criminal IP
95.182.97.58 IP Scan Report - Open Ports: Mysql, Openssh CVE ID: CVE-2024-6387, CVE-2023-51384, CVE-2023-38408 | This may be a malicious IP Address. This IP Address has critical vulnerabilities.
www.criminalip.io
[1] * mshta[.]exe "Microsoft HTML Application Host"의 약자, HTML 애플리케이션(HTA)을 실행하는 데 사용됩니다. HTA는 HTML, JavaScript, VBScript와 같은 스크립팅 언어를 포함하는 웹 페이지처럼 보이지만 데스크탑 애플리케이션처럼 동작하는 특수한 형태의 애플리케이션입니다.
참조 : https://blog.criminalip.io/2024/10/07/clickfix-fake-error-messages/
댓글