Hir.harvard.edu ClickFix 멀웨어

사이버 보안 연구원들은 공격자들이 하버드 공식 웹사이트(hir.harvard.edu)를 사칭하여 악성 소프트웨어를 배포하는 캠페인을 발견했습니다. 공격자들은 신뢰도가 높고 평판이 좋은 도메인에 접근하여, 합법적인 페이지처럼 보이는 악성 콘텐츠를 게시합니다. 이러한 전술은 의심하지 않는 방문자들이 해당 콘텐츠에 접근할 가능성을 크게 높여, 잠재적 위협에 대한 경계심을 약화시킵니다.

ClickFix 악용 사례: 사용자 행동 조작

이 공격은 소셜 엔지니어링에 기반한 기만적인 악성코드 유포 방식인 '클릭픽스(ClickFix) '라는 기법을 사용합니다. 이 방식은 소프트웨어 취약점을 직접 악용하는 대신, 사용자를 속여 악성 명령어를 실행하도록 유도합니다. 피해자는 일반적으로 그럴듯하고 필요한 것처럼 보이는 가짜 시스템 경고, CAPTCHA 인증 절차 또는 긴급한 '수정' 지침을 접하게 됩니다.

실제로 이러한 메시지는 사용자가 기기에 악성코드를 몰래 감염시키는 명령어를 실행하도록 유도하기 위해 정교하게 설계되었습니다.

단계별 감염 과정

해킹당한 웹사이트에서는 방문자가 CAPTCHA 인증처럼 보이는 절차를 완료하도록 안내합니다. 이 안내에 따라 사용자는 일련의 키보드 입력을 수행하여 명령줄 인터페이스를 열고 숨겨진 악성 코드를 실행하게 됩니다.

• 사용자는 Win + X 키를 누른 다음 PowerShell 또는 터미널을 선택하고 Ctrl + V를 누른 후 Enter 키를 누르라는 안내를 받습니다.
• 악성 명령어는 이미 웹사이트에 의해 클립보드에 복사되었으므로 사용자가 내용을 볼 수 없도록 붙여넣어집니다.
• 해당 명령을 실행하면 악성 소프트웨어가 다운로드 및 실행되어 시스템이 손상됩니다.

이 방법은 실행 책임을 사용자에게 전가하여 기존의 보안 방어 체계를 약화시킵니다.

ClickFix 기반 공격의 결과

ClickFix 캠페인은 다양한 악성 페이로드를 배포하는 데 흔히 사용됩니다. 이러한 위협은 실행될 경우 다음과 같은 방식으로 개인과 조직 모두에게 심각한 영향을 미칠 수 있습니다.

• 로그인 자격 증명 및 금융 정보와 같은 민감한 데이터의 도난
• 무단 원격 접속 및 장치 제어
• 파일 암호화 후 몸값 요구

• 계정 탈취 및 공격 확산

이러한 결과는 현대 사이버 범죄 작전에서 이 기법의 다재다능함과 위험성을 잘 보여줍니다.

추가적인 악성코드 유포 채널

ClickFix 외에도 사이버 범죄자들은 악성 소프트웨어를 유포하고 시스템을 공격하기 위해 다양한 방법을 사용합니다. 일반적인 유포 경로는 사기성 기술 지원 스캠, 악성 첨부 파일이나 링크가 포함된 피싱 이메일, 불법 복제 소프트웨어 및 크랙 도구, 기만적인 광고, 비공식 웹사이트, 그리고 제3자 다운로드 플랫폼 등이 있습니다.

방어적 인식: 위협 인지

ClickFix 공격 사례는 사이버 보안에 있어 사용자 경각심의 중요성을 강조합니다. PowerShell이나 터미널과 같은 시스템 도구를 통해 명령어를 수동으로 실행하도록 유도하는 모든 지침은 매우 의심스러운 것으로 간주해야 합니다. 정상적인 웹사이트와 서비스는 사용자가 확인이나 문제 해결을 위해 그러한 작업을 수행하도록 요구하지 않습니다.

이러한 기만적인 전술을 인지하고 그러한 지시를 따르지 않는 것은 감염 및 데이터 유출을 방지하는 데 매우 중요한 방어 수단입니다.