해커들, ‘ClickFix’ 사기를 이용해 악성 소프트웨어 확산

해커들은 “ClickFix” 사회 공학을 악용하여 사용자들을 가짜 오류나 CAPTCHA로 속여 PowerShell을 실행시키고, 2024년 이후로 전 세계적으로 악성 소프트웨어를 퍼뜨리고 있습니다.

사이버 범죄자들이 점점 더 “ClickFix”라는 교묘한 사회 공학적 수법을 사용하여 악성 소프트웨어를 배포하고 있습니다. 이는 개인들이 자신의 문제를 스스로 해결하려는 본능을 대상으로 합니다.

Proofpoint의 연구결과에 따르면, 월요일에 이 방법의 사용이 늘어나고 있는 것이 밝혀졌다. 이 방법은 2024년 3월 이후 많은 캠페인에서 관찰되었다.

“ClickFix” 기법은 팝업 대화 상자를 통해 나타나는 가짜 오류 메시지에 의존한다. 이 메시지들은 합법적으로 보이며 사용자에게 문제를 스스로 해결하도록 요구한다고 Proofpoint이 설명한다.

자주, 지시사항은 사용자들에게 제공된 스크립트를 복사하고 컴퓨터의 PowerShell 터미널에 붙여넣도록 지시합니다. PowerShell 터미널은 Windows 시스템에서 명령을 실행하는 데 사용되는 도구입니다. 사용자는 모르는 사이에 이 행동이 악성 소프트웨어를 다운로드하고 실행합니다.

Proofpoint은 이러한 접근 방식이 피싱 이메일, 악성 URL, 그리고 침해된 웹사이트에서 사용되는 것을 확인했습니다.

위협 요인들은 자신들의 사기를 마이크로소프트 워드, 구글 크롬과 같은 신뢰할 수 있는 소스로부터의 알림이나, 물류나 운송 등 특정 산업에 맞춘 현지 서비스로 위장합니다.

특히 교묘한 ClickFix의 변종은 가짜 CAPTCHA 도전으로, 사용자들에게 “자신이 사람임을 증명하라”고 요구한다고 Proofpoint이 설명합니다.

CAPTCHA 속임수는 AsyncRAT, DarkGate, Lumma Stealer와 같은 악성 소프트웨어를 설치하는 악의적인 명령을 실행하는 지시와 함께 사용됩니다. 눈에 띄는 것은, 이 가짜 CAPTCHA 전략을 위한 툴킷이 GitHub에 등장, 범죄자들이 이를 더 쉽게 사용하게 만들었다는 점입니다.

Proofpoint에 따르면, 해커들은 세계적으로 다양한 조직을 대상으로 하였으며, 이 중에는 우크라이나의 정부 기관도 포함되어 있습니다. 한 사례에서, 그들은 GitHub를 가장하여 가짜 보안 경고를 사용해 사용자들을 악성 웹사이트로 유도하였습니다.

이러한 사기 행위로 인해 300개 이상의 조직에서 악성 소프트웨어 감염이 발생했습니다.

ClickFix가 매우 효과적인 이유는 여러 보안 조치를 우회할 수 있는 능력 때문입니다. 사용자들이 악의적인 명령을 자발적으로 실행하기 때문에, 전통적인 이메일 필터 및 안티바이러스 도구는 이러한 활동을 표시할 가능성이 더 적다고 Proofpoint는 말합니다.

Proofpoint는 이 전략이 해킹의 보다 광범위한 추세인 인간의 행동을 조작하는 것의 일부임을 강조합니다: 기술적 취약점을 이용하는 것뿐만 아니라. 해커들은 사용자들이 독자적으로 문제를 해결하려는 의지에 의존하며, 이 과정에서 종종 IT 팀을 우회합니다.

이러한 위협에 대응하기 위해, 조직은 직원들에게 ClickFix 사기에 대해 교육해야 하며, 무작정 요청되는 문제 해결 방법에 대한 회의적인 태도의 중요성을 강조해야 합니다.

주의를 기울이고 수상한 이메일이나 팝업을 신고하는 것으로 이런 교묘한 공격에 빠지는 것을 예방할 수 있습니다.