ClickFix 캠페인 평가

사이버 보안 분석가들은 널리 사용되는 ClickFix 소셜 엔지니어링 기법을 적극적으로 활용하는 악성 활동이 지속적으로 발생하고 있음을 발견했습니다. EVALUSION으로 추적되는 이 캠페인은 이 기법을 활용하여 Amatera Stealer와 NetSupport RAT를 모두 유포하여 감염된 시스템에 대한 광범위한 데이터 유출 및 원격 접근을 가능하게 합니다.

ACR에서 아마테라까지: 스틸러의 진화

아마테라의 첫 징후는 2025년 6월에 나타났으며, 연구원들은 이를 이전에 맬웨어 서비스 구독 모델로 운영되었던 ACR(AcridRain) Stealer의 직접적인 후속작으로 평가했습니다. 2024년 7월 중순 ACR 판매가 중단된 후, 아마테라는 월 199달러에서 연 1,499달러까지 다양한 가격대로 출시되어 다양한 위협 행위자가 접근할 수 있게 되었습니다.

포괄적인 도난을 위해 구축된 기능

Amatera는 다양한 유형의 사용자 정보를 침해하도록 설계된 광범위한 데이터 수집 기능을 제공합니다. 공격 대상은 암호화폐 지갑, 브라우저, 메시징 클라이언트, FTP 유틸리티, 이메일 프로그램 등 다양합니다. 탐지를 피하기 위해 WoW64 SysCalls를 포함한 고급 회피 전략을 사용하는데, 이를 통해 샌드박스, 바이러스 백신 엔진, EDR 솔루션에서 사용하는 일반적인 사용자 모드 모니터링을 우회할 수 있습니다.

주요 데이터 대상은 다음과 같습니다.

• 암호화폐 지갑 및 확장 프로그램
• 웹 브라우저
• 인기 있는 메시징 플랫폼
• FTP 클라이언트
• 이메일 신청

ClickFix 작동 방식: 감염 과정

많은 ClickFix 시나리오에서 볼 수 있듯이, 피해자는 사기성 피싱 사이트에서 가짜 reCAPTCHA 챌린지를 완료하는 것처럼 위장하여 Windows 실행 대화 상자에서 명령을 실행하도록 유도됩니다. 이 명령은 PowerShell 스크립트를 실행하는 mshta.exe와 관련된 연쇄 반응을 유발합니다. 이 스크립트는 MediaFire에 호스팅된 .NET 바이너리를 검색하여 페이로드 배포를 위한 기반을 마련합니다.

PureCrypter와 MSBuild: 은밀한 전달 체인

다운로드된 구성 요소는 PureCoder라는 개발사가 MaaS 제품으로 판매하는 다용도 C# 기반 로더인 PureCrypter를 사용하여 숨겨진 Amatera Stealer DLL입니다. 활성화되면 DLL이 MSBuild.exe에 삽입되어 스틸러가 데이터 수집을 시작할 수 있도록 합니다. 그런 다음 외부 서버에 접속하여 PowerShell 명령을 실행하여 NetSupport RAT를 다운로드하고 실행합니다.

실행 논리는 다음 단계를 거칩니다.

• 시스템이 도메인에 속하는지 확인합니다.
• 암호화 지갑 데이터와 같은 잠재적으로 귀중한 파일을 찾습니다.
• 다음 조건 중 하나가 충족되는 경우에만 NetSupport RAT 배포를 진행합니다.

최대 효과를 위한 선택적 타겟팅

아마테라 PowerShell 루틴의 특이한 점 중 하나는 조건부 논리입니다. 스틸러는 감염된 엔드포인트가 기업 도메인의 일부인지 또는 고가치 데이터를 포함하고 있는지 평가합니다. 두 가지 기준 모두 충족되지 않으면 NetSupport RAT가 의도적으로 보류됩니다. 이는 운영자가 리소스를 절약하고 최대 수익을 제공하는 시스템에 집중하려는 의도를 시사합니다.

ClickFix 조작과 정교한 맬웨어 생태계가 결합된 이러한 표적화된 접근 방식은 현대 사이버범죄 작전이 점점 더 정교해지고 있음을 보여줍니다.