FileFix 소셜 엔지니어링 공격

연구원들은 FileFix 사회공학 기법의 변형을 사용하여 StealC 정보 탈취 악성코드를 유포하는 최근 피싱 캠페인을 발견했습니다. 이 캠페인은 정교하게 제작된 다국어 가짜 사이트('페이스북 보안' 페이지가 발견된 사례 포함), 강력한 난독화 및 분석 방지 기법, 그리고 탐지를 피하기 위해 합법적인 서비스를 악용하는 특이한 페이로드 전달 체인을 사용합니다.

피해자들이 유인되는 방식

공격은 일반적으로 수신자에게 페이스북 계정이 정책 위반 혐의로 정지될 위기에 처해 있다는 내용의 이메일과 이의 제기를 촉구하는 내용으로 시작됩니다. 이의 제기 링크를 클릭하면 사용자는 그럴듯한 피싱 페이지로 리디렉션됩니다. 해당 페이지는 해당 위반 사항의 PDF 파일을 제공한다고 하며, 파일 탐색기에 경로를 복사하여 붙여넣어 접근하라고 안내하지만, 친절한 안내는 속임수에 불과합니다.

FileFix 트릭

FileFix는 로컬에서 코드를 실행하는 방식에서 유사 기법들과 다릅니다. FileFix는 피해자에게 실행 대화 상자를 열고 명령을 붙여넣도록 요청하는 대신, 브라우저의 파일 업로드/복사 기능을 악용하여 피해자가 파일 탐색기 주소창에 문자열을 붙여넣도록 합니다. 표시되는 텍스트는 무해한 파일 경로처럼 보이지만, 클립보드에는 실제로는 맨 뒤에 공백이 포함된 악성 다단계 PowerShell 명령이 포함되어 있어 붙여넣을 때 무해한 경로만 표시됩니다. 피해자가 파일 탐색기를 열고 명령을 붙여넣으면 숨겨진 명령이 로컬에서 실행됩니다.

공격 체인

사용자는 피싱 이메일에서 난독화된 다국어 가짜 사이트로 리디렉션됩니다.

• 사이트의 버튼을 클릭하면 FileFix 흐름이 트리거되고 클립보드에 숨겨진 PowerShell 명령이 채워집니다.
• PowerShell 스크립트는 Bitbucket 저장소에서 겉보기에 무해한 이미지를 다운로드합니다.
• 이미지는 다음 단계의 페이로드로 디코딩됩니다.
• Go 기반 로더가 실행되고 셸코드가 압축 해제되고 마지막으로 StealC 정보 스틸러가 실행됩니다.

신뢰할 수 있는 호스팅 서비스 남용

운영자는 Bitbucket 저장소의 이미지 내에 인코딩된 페이로드를 호스팅합니다. 평판이 좋은 소스 코드 호스팅 플랫폼을 사용하면 공격자가 합법적인 요청에도 트래픽을 숨기고 목적지 평판에 따른 자동 차단 가능성을 줄일 수 있습니다.

난독화 및 분석 방지 기술

피싱 페이지와 스크립트는 단순하지 않습니다. 운영자는 고급 난독화, 단편화, 그리고 정크 코드를 사용하여 인간 분석가와 자동 스캐너를 방해했습니다. 인프라는 다국어로 구성되어 있으며, 세련되어 있어 영어가 모국어가 아닌 사용자를 속일 가능성이 높고 사이트가 진짜처럼 보이게 합니다.

FileFix 대 ClickFix

FileFix는 브라우저의 파일 업로드/복사 흐름을 악용하여 피해자가 실행 대화 상자를 실행하는 대신 파일 탐색기의 주소 표시줄에 붙여넣도록 합니다.

ClickFix를 사용하려면 실행 대화 상자(또는 macOS의 터미널)에 붙여넣어야 하며 Explorer.exe 또는 터미널 세션에서 생성됩니다.

실제적 영향 : FileFix는 널리 사용되는 브라우저 기능을 활용하므로 실행 대화 상자 사용을 차단하는 방어 수단을 우회할 수 있습니다.

탐지의 미묘한 차이 : FileFix는 피해자의 브라우저가 실행 체인을 트리거하도록 하기 때문에 해당 활동은 ClickFix에서 사용하는 실행 대화 상자보다 엔드포인트 모니터링이나 사고 조사에서 더 잘 보일 수 있습니다. 하지만 여전히 속임수를 통해 많은 최종 사용자 보호 기능을 무력화합니다.

위협 행위자의 진화하는 기술

이 캠페인은 의도적이고 풍부한 자원을 활용한 접근 방식을 보여줍니다. 신중하게 설계된 피싱 인프라, 다단계 페이로드 설계, 그리고 신뢰할 수 있는 제3자 호스팅을 활용하여 은밀성과 작전 수행 범위를 극대화했습니다. 적의 수법은 일반적인 탐지를 피하고 다양한 대상에 걸쳐 안정적인 실행을 달성하려는 의도를 보여줍니다.