Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

지속적인 맬웨어 위협이 계속해서 전 세계 사용자를 표적으로 삼고 있습니다.

지속적인 맬웨어 위협이 계속해서 전 세계 사용자를 표적으로 삼고 있습니다.

2025년 10월 29일 오후 1시(EDT)에 게시됨

Gavin은 기술 설명, 보안, 인터넷, 스트리밍 및 엔터테인먼트 부문의 부문 책임자이며, 전직 정말 유용한 팟캐스트의 공동 진행자이자 빈번한 제품 리뷰어입니다. 그는 Devon 언덕에서 약탈한 현대 작문 학위를 보유하고 있으며 10년 이상의 전문 작문 경험을 보유하고 있으며 그의 작품은 How-To Geek, Expert Reviews, Trusted Reviews, Online Tech Tips 및 Help Desk Geek 등에 게재되었습니다. Gavin은 CES, IFA, MWC 및 기타 기술 무역 박람회에 참석하여 현장에서 직접 보고하며 그 과정에서 수십만 단계를 거쳤습니다. 그는 자신이 기억하고 있는 것보다 더 많은 헤드폰, 이어버드, 기계식 키보드를 검토했으며, 많은 양의 차, 보드 게임, 축구를 즐깁니다.

합법적인 CAPTCHA, '브라우저 업데이트' 또는 유용한 수정 대화 상자처럼 보이는 웹페이지를 상상해 보세요. 페이지는 텍스트나 코드 덩어리를 클립보드에 자동으로 복사한 다음 실행, 터미널 또는 파일 탐색기를 열고 거기에 붙여넣어 페이지를 "확인"하거나 "수정"하라는 메시지를 표시합니다.

붙여넣고 Enter 키를 누르면 공격자가 클립보드에 넣은 모든 것을 실행한 것입니다. 대개 추가 맬웨어를 다운로드하고 실행하는 PowerShell 또는 셸 명령입니다. 이 간단한 사용자 행동이 호기심을 타협으로 바꿔줍니다.

글쎄, 그것은 완전히 현실입니다. 이것이 ClickFix(및 확장하여 FileFix) 사회 공학 보안 공격이 작동하는 방식이며, 왜 그렇게 위험한지, 그리고 왜 빨리 사라지지 않는지입니다.

이 악성 코드는 자신을 감염시킵니다

지속적인 맬웨어 위협이 계속해서 전 세계 사용자를 표적으로 삼고 있습니다. 출처:Microsoft

ClickFix는 2024년에 처음 등장한 이후 수십 가지 변형으로 발전했습니다. 그 전제는 거칠고 이상하게 들리지만, 그것의 일부 측면이 얼마나 설득력이 있는지 깨닫고 나면 더 의미가 있습니다. "내 컴퓨터에 뭔가를 복사하여 붙여 넣을 방법은 없습니다."라고 말하는 사람은 당신이 처음이 아닐 것입니다. 당신이 옳을 것입니다. 그러나 많은 사기와 마찬가지로 귀하가 실제로 표적이 아닐 수도 있습니다. 컴퓨터를 사용하는 취약한 사람들을 생각해 보면 그것이 왜 큰 문제인지 더 잘 알게 될 것입니다.

지속적인 맬웨어 위협이 계속해서 전 세계 사용자를 표적으로 삼고 있습니다. 출처: ESET
  1. 합법적인 CAPTCHA, 브라우저 업데이트 또는 시스템 복구 메시지처럼 보이는 웹페이지가 표시됩니다. 페이지에서는 문제가 발생했다고 주장하며 실행 대화 상자나 PowerShell 창에 짧은 명령을 붙여넣어 "수정"하라고 알려줍니다.
  2. 공격자는 사용자가 모르는 사이에 JavaScript를 사용하여 추가 악성 코드를 다운로드하기 위한 숨겨진 지침이 포함된 악성 코드를 클립보드에 몰래 넣습니다.
  3. 피해자는 실행 대화 상자를 열고 CTRL + V를 누른 다음 Enter를 눌러 악성 명령을 실행하고 추가 악성 코드를 다운로드하는 것이 좋습니다.

명령이 실행되면 어떤 일이든 일어날 수 있습니다. 피해자는 자신의 컴퓨터에서 무슨 일이 일어날지 알 수 없으며 그 결과 인포스틸러, 랜섬웨어, 원격 액세스 트로이 목마 등이 모두 컴퓨터에 직접 다운로드될 수 있습니다.

예상할 수 있듯이 대부분의 ClickFix 공격은 전 세계 대부분의 맬웨어와 마찬가지로 Windows 사용자에게 초점을 맞춥니다. 그러나 macOS 사용자도 위험에서 자유롭지 않습니다. Emsisoft 및 Fortinet과 같은 보안 회사는 모두 macOS에 초점을 맞춘 ClickFix 공격을 문서화했으며 macOS가 맬웨어로부터 면역되지 않는다는 점을 강조했습니다.

ClickFix 시작 방법

ClickFix는 처음부터 어디에서 왔나요?

대부분의 맬웨어와 마찬가지로 ClickFix 공격은 일반적으로 피싱 이메일과 손상된 웹사이트에서 시작됩니다. 연구원들은 GitHub, Booking.com, 심지어 Cloudflare 확인 페이지로 위장한 캠페인을 추적했습니다. 가짜 페이지는 종종 다음을 통해 전달됩니다:

  • "확인 수정" 또는 "계정 확인" 페이지로 연결되는 피싱 이메일
  • 광고 네트워크를 통해 제공되는 악성 광고 및 가짜 브라우저 업데이트
  • 합법적이지만 해킹된 웹사이트에서 리디렉션
  • 가짜 "패치" 지침을 푸시하는 소셜 미디어 링크

위의 방법 중 하나를 통해 악성 코드가 다운로드되면 피해자는 시스템에서 바이러스를 제거하는 방법에 대한 지침을 받게 됩니다. 그러나 이러한 지침은 실제로 추가 악성 코드를 다운로드하며 이는 원래 감염보다 훨씬 더 위험한 경우가 많습니다.

그 점에서 ClickFix는 실제로 일종의 악성 코드가 아닙니다. 배송방법이에요. 이것이 바로 ClickFix가 사회 공학 공격으로 간주되는 이유입니다. 피해자가 위험한 일을 하도록 설득하는 것입니다. 이것이 바로 이것이 효과적인 이유이기도 합니다. 피해자가 명령을 실행하고 있기 때문에 사용자가 악성 코드 다운로드를 구체적으로 요청하고 실행하고 있기 때문에 Windows에 내장된 대부분의 보호 기능을 건너뜁니다.

FileFix는 파일 탐색기를 사용하여 악성 코드를 다운로드합니다.

또한 FileFix로 알려진 ClickFix의 최신 버전이 있습니다.

보안 연구원 mr.d0x가 2025년 6월에 처음 공개한 이 공격은 Windows의 파일 탐색기를 사용하여 동일한 악성 명령을 실행하여 악성 코드를 다운로드합니다.

따라서 공격은 실행 대화 상자나 PowerShell을 열 필요 없이 피해자에게 파일 탐색기를 열도록 지시합니다. 거기에서 피해자는 악성 스크립트를 파일 탐색기 주소 표시줄에 복사하고 Enter 키를 눌러 명령을 효과적으로 실행합니다.

거기에서 결과는 ClickFix와 유사합니다. 더 많은 악성코드가 다운로드되어 컴퓨터를 더욱 감염시킵니다.

ClickFix는 아무데도 가지 않습니다

숫자는 거짓말을 하지 않습니다

ClickFix의 문제는 단지 교활하다는 것만이 아닙니다. 또한 가장 빠르게 증가하는 위협 중 하나이며 둔화될 기미가 전혀 보이지 않습니다. ESET의 2025년 상반기 위협 보고서에 따르면 1년 동안 ClickFix 공격이 500% 증가한 것으로 나타났습니다.

이 새로운 사회 공학 기법을 효과적으로 만드는 이유는 피해자가 지침을 따를 수 있을 만큼 간단하고, 꾸며낸 문제를 해결할 수 있을 것처럼 보일 만큼 믿을 만하며, 피해자가 기기에 붙여넣고 실행하라는 정확한 명령에 많은 주의를 기울이지 않을 확률을 남용한다는 것입니다. — Dušan Lacika, ESET 수석 탐지 엔지니어

마찬가지로 Microsoft 보고서에서는 악성 코드를 실행하는 사람들이 수만 명에 달하는 것으로 확인되었습니다.

불행히도 ClickFix에는 반복적으로 사용될 공격의 모든 특징이 있습니다. 그리고 왜 그렇지 않을까요? 공격자들은 이를 통해 엄청난 성공을 거두고 있는 것이 분명합니다. 그렇다면 효과적인 방법을 왜 바꾸겠습니까?

이것이 주요 공격이 된 데에는 몇 가지 이유가 더 있습니다:

  • 신고할 직접 다운로드가 없기 때문에 브라우저 보호를 우회합니다.
  • 시스템 악용이 아닌 인간의 신뢰에 의존하므로 패치만으로는 문제가 해결되지 않습니다.
  • 끝없이 재사용 가능 - 모든 그룹이 몇 분 안에 자신만의 버전을 구축할 수 있음
  • 세련된 가짜 페이지와 브랜드 로고 덕분에 합법적인 것처럼 보입니다.
  • 기존 피싱 인프라를 통해 저렴하고 배포가 용이함

이는 맬웨어 배포에 있어 탁월한 조합입니다.

ClickFix 공격을 피하는 몇 가지 방법이 있습니다

절대로 임의의 명령을 붙여넣지 마세요.

ClickFix 공격을 찾아내는 것이 어려운 것처럼 들리지만 불가능한 것은 아닙니다.

  1. ClickFix 공격이 시작되는 주요 방법 중 하나이므로 피싱 이메일의 전형적인 징후를 찾아내는 방법을 알아 두십시오.
  2. 알 수 없는 명령을 실행, PowerShell 또는 파일 탐색기에 붙여넣지 마십시오. 어떤 합법적인 웹사이트도 귀하에게 그렇게 하도록 요구하지 않습니다.
  3. 예상치 못한 '수정' 또는 '확인' 페이지를 의심스럽게 처리하세요. 문제가 있는 경우 탭을 닫고 서비스에 직접 액세스하세요.
  4. 브라우저와 OS 보안 기능을 활성화 상태로 유지하세요. Windows SmartScreen, Defender 및 Chrome의 세이프 브라우징은 여전히 ​​최종 페이로드를 차단할 수 있습니다. 또는 Malwarebytes Premium과 같은 타사 보안 도구를 설치하세요.
  5. 실시간 보호 기능과 PowerShell 활동을 모니터링하는 최신 바이러스 백신 제품군을 사용하세요.
  6. 단축 URL과 이메일 첨부 파일에 주의하세요. 많은 ClickFix 캠페인은 단축된 리디렉션 체인에서 시작됩니다.
  7. 이미 명령을 붙여넣었다면 즉시 인터넷 연결을 끊고 전체 악성코드 검사를 실행하세요. 귀하의 컴퓨터와 잠재적으로 귀하의 자격 증명이 이미 손상되었을 가능성이 있습니다.

피싱 이메일을 식별하는 방법을 배우고 보안에 대한 위험 회피 접근 방식을 구축하는 것이 안전을 유지하는 가장 좋은 방법입니다. 잠재적인 ClickFix 공격이 시작되기도 전에 차단됩니다.