ClearFake 공격 캠페인

ClearFake 캠페인의 배후에 있는 사이버 위협 행위자들은 가짜 reCAPTCHA와 Cloudflare Turnstile 검증을 사용하여 의심하지 않는 사용자를 속여 맬웨어를 다운로드하게 했습니다. 이러한 사기성 기술은 Lumma Stealer 및 Vidar Stealer 와 같은 정보 도용 맬웨어를 배포하는 데 사용됩니다.

악성 소프트웨어 함정으로서의 가짜 브라우저 업데이트

2023년 7월에 처음 발견된 ClearFake는 손상된 WordPress 사이트를 통해 퍼지는 악성 캠페인으로, 가짜 웹 브라우저 업데이트 메시지를 사용하여 피해자를 유인합니다. 이 방법은 맬웨어를 효율적으로 배포하려는 사이버 범죄자에게 선호되는 기술이었습니다.

은밀성과 지속성을 위해 EtherHiding 활용

ClearFake의 감염 체인의 핵심 측면은 EtherHiding으로, 공격자가 Binance의 Smart Chain(BSC) 계약을 사용하여 다음 단계 페이로드를 가져올 수 있는 기술입니다. 이 접근 방식은 분산형 블록체인 기술을 활용하여 공격의 회복성을 향상시키고 탐지 및 제거 노력을 더욱 어렵게 만듭니다.

ClickFix의 등장: 소셜 엔지니어링 수법

2024년 5월까지 ClearFake는 ClickFix를 통합했습니다. ClickFix는 존재하지 않는 기술적 문제를 해결한다는 거짓 명목으로 악성 PowerShell 코드를 실행하도록 사용자를 속이는 소셜 엔지니어링 트릭입니다. 이 기술은 공격자가 피해자의 시스템을 더욱 제어하는 데 도움이 됩니다.

ClearFake의 최신 변형의 고급 Web3 기능

ClearFake 캠페인의 최신 반복은 EtherHiding과 ClickFix를 계속 사용하지만 주목할 만한 발전이 있습니다. 이러한 업데이트에는 다음이 포함됩니다.

• 스마트 계약 애플리케이션 바이너리 인터페이스(ABI)를 사용하여 Binance Smart Chain과 더욱 긴밀하게 상호 작용합니다.
• 피해자 시스템의 지문을 강화하여 여러 개의 JavaScript 코드와 리소스를 로딩합니다.
• 보안 분석을 피하기 위한 암호화된 ClickFix HTML 코드.

암호화된 페이로드를 사용한 다단계 공격

피해자가 침해된 웹사이트를 방문하면 공격은 여러 단계로 진행됩니다.

• Binance Smart Chain에서 JavaScript를 검색하여 시스템 정보를 수집합니다.

• Cloudflare Pages에서 암호화된 ClickFix 스크립트를 가져옵니다.

• 악성 PowerShell 명령을 실행하여 맬웨어 배포를 유도합니다.

피해자가 악의적인 행동을 계속하면 Emmenhtal Loader(일명 PEAKLIGHT)가 실행되고, 결국 시스템에 Lumma Stealer가 설치됩니다.

진화하는 전술: 대규모 위협

2025년 1월까지 보안 연구원들은 PowerShell 로더를 사용하여 Vidar Stealer를 설치하는 새로운 ClearFake 공격 체인을 관찰했습니다. 지난달까지 최소 9,300개의 웹사이트가 침해되었습니다.

공격자는 ClearFake 프레임워크를 지속적으로 업데이트하여 매일 미끼, 스크립트 및 페이로드를 수정합니다. 이 맬웨어는 이제 Binance Smart Chain 내에 다음을 포함한 여러 핵심 요소를 저장합니다.

• 자바스크립트 코드
• AES 암호화 키
• 악성 미끼 파일을 호스팅하는 URL
• ClickFix PowerShell 명령

대량 감염 및 광범위한 노출

ClearFake 감염의 규모는 상당하며 전 세계적으로 수많은 사용자에게 영향을 미칩니다. 2024년 7월, 약 200,000명의 고유 사용자가 ClearFake 미끼에 노출되어 맬웨어를 다운로드하게 되었습니다.

ClickFix는 자동차 딜러십 웹사이트를 손상시킵니다.

ClickFix의 주요 공격 벡터는 자동차 딜러십 웹사이트였습니다. 100개가 넘는 딜러십 사이트가 침해당했고, SectopRAT 맬웨어는 ClickFix 미끼를 통해 전달되었습니다.

그러나 딜러십 자체 웹사이트는 직접 감염되지 않았습니다. 대신, 침해는 모르게 침해된 JavaScript 주입을 호스팅한 제3자 비디오 서비스를 통해 발생했습니다. 이 사건은 공급망 공격인 것으로 보이며, 제3자 서비스의 취약성으로 인한 위험을 강조합니다. 악성 스크립트는 그 후 감염된 사이트에서 제거되었습니다.

마무리 생각: 지속적이고 확대되는 위협

ClearFake 캠페인은 고급 블록체인 기반 기술, 소셜 엔지니어링, 다단계 감염 체인을 활용하여 계속 진화하고 있습니다. 수천 개의 사이트가 손상되고 수십만 명의 잠재적 피해자가 발생하는 영향의 규모는 이러한 정교한 맬웨어 위협에 맞서 방어하기 위한 강력한 사이버 보안 조치에 대한 시급한 필요성을 강조합니다.