다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 JackFix 맬웨어 캠페인

JackFix 맬웨어 캠페인

멀웨어년에 Mezo 년까지
번역 :

최근 조사 결과, ClickFix 방식의 소셜 엔지니어링을 악용하는 공격이 급증하고 있는 것으로 나타났습니다. 이러한 수법은 피해자가 종종 단계적인 기술 안내를 통해 유해한 명령을 직접 실행하도록 유도하는 데 의존합니다. 최근 공격은 이러한 수법을 더욱 심화시켜 가짜 성인 웹사이트와 위조된 윈도우 업데이트 알림을 결합함으로써 보안팀이 JackFix라고 명명한 고도로 교묘한 감염 사슬을 형성합니다.

진입점으로서의 성인용 피싱 포털

이 캠페인은 유명 플랫폼을 흉내 내도록 제작된 사기성 성인 사이트로 시작하며, 악성 광고 및 기타 리디렉션 기법을 통해 유포됩니다. 사용자가 이러한 페이지에 접속하면 중요한 Windows 보안 알림으로 위장한 긴급 업데이트 메시지가 곧바로 표시됩니다. 성인용 테마는 심리적 압박감을 증폭시켜 갑작스러운 업데이트 안내가 그럴듯하게 느껴지게 하고, 사용자들이 업데이트의 진위 여부를 의심하지 않도록 만듭니다.

이러한 사이트의 일부 변형에는 러시아어로 된 개발자 설명이 포함되어 있어 러시아어를 사용하는 위협 그룹과 관련이 있을 가능성이 있습니다.

사기성 전체 화면 업데이트 알림

방문자가 악성 페이지와 상호 작용하면 HTML 및 JavaScript 구성 요소가 Windows 업데이트 대화 상자를 흉내 낸 전체 화면을 즉시 실행합니다. 인터페이스는 파란색 배경과 단순한 흰색 텍스트를 사용하여 긴급도가 높은 시스템 메시지 스타일을 반영합니다. JavaScript는 전체 화면 모드를 강제로 실행하려고 시도하는 반면, 추가 코드는 Escape, F11, F5, F12 등 일반적인 Escape 키를 차단하여 사용자를 가짜 업데이트에 가두려고 합니다.
이러한 사실에도 불구하고 구현상의 오류로 인해 Escape와 F11은 여전히 작동하여 사용자에게 탈출구를 제공할 수 있습니다.

이 사기의 핵심은 피해자에게 표시되는 지침에 있습니다. Windows 실행 대화 상자를 열고 미리 복사한 명령을 붙여넣어 실행하라는 것입니다. 이러한 단계를 수행하면 악성 페이로드가 실행되고 침해가 시작됩니다.

ClickFix의 지배력과 공격의 진화

ClickFix 방식의 활동이 급격히 증가하여 현재 문서화된 초기 접속 이벤트의 거의 절반을 차지합니다. 전통적으로 이러한 위협은 CAPTCHA 확인이나 문제 해결 프롬프트를 사칭합니다. JackFix 캠페인은 더욱 몰입적이고 시스템적인 미끼로의 전환을 보여주며, 공격자가 사용자 지원 코드 실행을 달성하기 위해 어떻게 지속적으로 심리적 조작을 가하는지 보여줍니다.

계층화된 난독화 및 명령 트리거 페이로드 전달

피해자의 컴퓨터에서 실행되는 첫 번째 명령은 mshta.exe를 활용하여 JavaScript가 포함된 MSHTA 페이로드를 실행합니다. 이 스크립트는 원격 서버에서 다른 PowerShell 단계를 검색하는 PowerShell 명령을 호출합니다. 감시를 피하기 위해 관련 도메인은 수동으로 접속할 경우 Google이나 Steam과 같은 무해한 사이트로 리디렉션됩니다. irm이나 iwr과 같은 특정 PowerShell 명령을 통해 이루어진 요청만 악성 응답을 유발하여 상당한 분석 장벽을 추가합니다.

다운로드된 PowerShell 스크립트에는 심각한 난독화(정크 코드, 숨겨진 로직, 리버스 엔지니어링을 방해하기 위한 검사)가 포함되어 있습니다. 또한 권한 상승을 시도하고 C2 엔드포인트 및 스테이징 디렉터리에 연결된 바이러스 백신 제외 기능을 추가합니다.

강제 권한 상승 및 페이로드 배포

권한 상승은 Start‑Process cmdlet에 -Verb RunAs 매개변수를 사용하여 수행되며, 피해자에게 관리자 권한이 부여될 때까지 반복적으로 메시지를 표시합니다. 권한이 상승되면 스크립트는 추가 구성 요소를 배포하는데, 이는 주로 C2 서버에 접속하여 추가 맬웨어를 가져오도록 설계된 가벼운 원격 액세스 트로이 목마입니다.

다양한 스틸러와 로더 무기고

이 맬웨어는 다음을 포함하여 최대 8개의 서로 다른 페이로드를 전송하는 것으로 관찰되었습니다.

  • 라다만티스 스틸러, 비다르 스틸러 2.0, 레드라인 스틸러, 아마데이
  • 후속 위협을 준비하는 데 사용되는 기타 로더 및 RAT

단 한 번의 성공적인 실행만으로도 민감한 데이터가 위험에 처할 수 있습니다. 피해자는 자격 증명, 암호화폐 보유 자산 및 기타 개인 정보를 잃을 수 있습니다. 특정 로더는 공격자가 더욱 강력한 악성코드로 침투 범위를 확대하여 피해를 크게 증가시킬 수 있도록 합니다.

트렌드

UPS - 배송 사기에 대한 조치 필요

피싱, 스팸
사이버 범죄자들은 피싱 캠페인을 배송 정보로 위장하는 경우가 잦으며, UPS - 발송 시 조치 필요(Action Required for Your Shipment) 사기가 대표적인 사례입니다. 신뢰할 수 있는 배송업체에서 발송된 것처럼 보이지만, 합법적인 회사, 조직 또는 서비스 제공업체와 관련이 없습니다. 이러한 이메일은 실제 발송 알림을 모방하여 수신자를 속여 민감한 정보를 노출하거나 유해한 콘텐츠와 상호 작용하도록 유도합니다. 사기성 메시지를 자세히 살펴보세요 이 사기 이메일은 누락된 정보나 미납 수수료로 인해 배송이 지연되었다는 내용의 공지를 가장하고 있습니다. 이 메시지는 허위 추적 정보, 날조된 긴박감, 그리고 수취인이 24시간 이내에 조치를 취하지 않을 경우 배송물이 반송될 것이라는 경고를...

메시지 전달 승인 필요 사기

피싱, 스팸
사이버 범죄자들은 수신자를 속여 민감한 정보를 빼내기 위해 믿을 만한 이메일 미끼를 계속해서 사용합니다. 최근 사례 중 하나는 메시지 배달 승인 필요 사기(Message Delivery Authorization Required Scam)입니다. 이는 일상적인 받은 편지함 알림을 모방하여 사용자 계정 정보를 제공하도록 유도하는 수법입니다. 이러한 메시지는 전문적인 것처럼 보일 수 있지만, 합법적인 회사, 조직 또는 서비스 제공업체와는 아무런 관련이 없습니다. 일상적인 이메일 관리로 위장한 기만적인 전제 사기성 이메일은 수신자가 승인을 기다리는 19개의 보류 메시지를 가지고 있다고 주장합니다. 알림을 더욱 긴급하게 보이도록, 이 사기성 이메일은 그중 6개의 메시지를 송장, 주문, 또는 견적 요청으로...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
47,921
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
38,221
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
35,624
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...