ClickFix 악성코드
최근의 맬웨어 배포 전략은 Google Chrome, Microsoft Word 및 OneDrive 오류와 유사한 사기성 알림을 사용합니다. 이러한 가짜 경고는 사용자를 속여 위협적인 PowerShell '수정'을 실행하여 궁극적으로 맬웨어를 설치하도록 하는 것을 목표로 합니다. 이 캠페인은 ClickFix로 알려진 새로운 그룹인 ClearFake와 악명 높은 TA571 위협 행위자와 관련된 행위자를 포함하여 다양한 위협 행위자에 의해 식별되고 사용되었습니다. TA571은 악성 코드 및 랜섬웨어 감염으로 이어지는 대량의 이메일을 유포하는 스팸 배포자로서의 역할로 잘 알려져 있습니다.
이전에 ClearFake 공격에는 방문자가 가짜 브라우저 업데이트인 것처럼 위장하여 악성 코드를 설치하도록 속이는 웹사이트 오버레이가 포함되었습니다.
목차
가짜 오류 경고로 인해 악성 코드 위협이 발생할 수 있음
보고된 공격에서 위협 행위자는 HTML 첨부 파일에 포함된 JavaScript와 손상된 웹 사이트를 포함하도록 방법을 확장했습니다. 이제 이러한 전술에는 Google Chrome, Microsoft Word 및 OneDrive의 가짜 오류를 시뮬레이션하는 오버레이가 포함됩니다. 이러한 사기성 경고는 방문자가 버튼을 클릭하여 PowerShell '수정'을 클립보드에 복사하도록 유도하고 이를 실행 대화 상자나 PowerShell 프롬프트에 붙여넣고 실행하도록 지시합니다.
이 공격 체인은 중요한 사용자 상호 작용에 의존하지만 사회 공학은 사용자에게 진짜 문제인 것처럼 보이는 것과 해결책을 동시에 제시할 만큼 정교합니다. 이로 인해 사용자는 관련 위험을 완전히 평가하지 않고 성급하게 행동하게 될 수 있습니다. Infosec 연구원들은 DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , 클립보드 하이재커, Lumma Stealer 등 이러한 공격에 사용된 여러 페이로드를 확인했습니다.
사기성 스크립트는 사용자의 장치에 악성 코드를 심습니다.
분석가들은 주로 초기 단계로 구분되는 세 가지 뚜렷한 공격 체인을 식별했으며 첫 번째 공격 체인만 TA571과 확실하게 연결되지 않았습니다.
ClearFake에 연결된 위협 행위자와 관련된 이 첫 번째 시나리오에서 사용자는 Binance의 스마트 체인 계약을 통해 블록체인에 호스팅된 악성 스크립트를 로드하는 손상된 웹 사이트를 방문합니다. 이 스크립트는 검사를 수행하고 웹 페이지 표시 문제를 주장하는 가짜 Google Chrome 경고를 실행합니다. 그런 다음 대화 상자에서는 방문자에게 PowerShell 스크립트를 Windows 클립보드에 복사하고 Windows PowerShell(관리) 콘솔에서 실행하여 '루트 인증서'를 설치하라는 메시지를 표시합니다.
실행 시 PowerShell 스크립트는 대상 장치의 유효성을 검사합니다. DNS 캐시 플러시, 클립보드 내용 지우기, 방해 메시지 표시 및 원격 PowerShell 스크립트 다운로드와 같은 작업을 수행합니다. 그러면 이 스크립트는 정보 도용 페이로드 다운로드를 시작하기 전에 VM 방지 검사를 수행합니다.
대체 공격 체인으로 사용되는 ClickFix 및 Lure 이메일
두 번째 공격 체인은 손상된 사이트에 웹사이트 삽입을 활용하여 가짜 Google Chrome 오류를 표시하는 iframe 오버레이를 생성하는 'ClickFix' 캠페인과 연결되어 있습니다. 사용자는 'Windows PowerShell(관리자)'을 열고 제공된 코드를 붙여넣으라는 메시지를 받게 되며, 그 결과 앞서 언급한 것과 동일한 감염이 발생합니다.
또 다른 감염 방법은 Microsoft Word 문서와 유사한 HTML 첨부 파일을 사용하는 이메일 기반 공격입니다. 문서를 올바르게 보려면 사용자에게 'Word Online' 확장 프로그램을 설치하라는 메시지가 표시됩니다. 오류 메시지에는 '수정 방법' 및 '자동 수정' 옵션이 제공됩니다. '수정 방법'을 선택하면 base64로 인코딩된 PowerShell 명령이 클립보드에 복사되어 사용자에게 이를 PowerShell에 붙여넣도록 지시합니다. '자동 수정'은 search-ms 프로토콜을 사용하여 원격 공격자가 제어하는 파일 공유에서 WebDAV 호스팅 'fix.msi' 또는 'fix.vbs' 파일을 표시합니다. 이러한 경우 PowerShell 명령은 MSI 파일 또는 VBS 스크립트를 다운로드하고 실행하여 각각 Matanbuchus 또는 DarkGate에 감염됩니다.
이러한 공격 전반에 걸쳐 위협 행위자는 시스템에서 PowerShell 명령 실행과 관련된 위험에 대한 사용자의 인식 부족을 이용합니다. 또한 붙여넣은 코드로 인해 발생하는 유해한 작업을 감지하고 방지할 수 없는 Windows의 무능력을 활용합니다.
연구원들이 관찰한 다양한 공격 체인은 TA571이 효능을 강화하고 더 많은 수의 시스템을 감염시키기 위한 추가 경로를 발견하기 위해 다양한 방법을 적극적으로 탐색하고 있음을 나타냅니다. 이러한 적응형 접근 방식은 전술을 발전시키고 사이버 보안 환경 내에서 영향력을 확대하려는 사이버 범죄자의 의지를 강조합니다.
