클릭픽스(ClickFix) 공격
클릭픽스(ClickFix)란?
- 최근 등장한 복사-붙여넣기(Copy & Paste) 기법을 활용한 사회공학적 공격이다.
- 사용자가 신뢰하는 서비스(예: MS Office, Google Meet, Apple 등)로 위장한 웹사이트나 문서에서 가짜 오류 메시지(예: “귀하의 아이폰이 해킹당했습니다”)를 띄운다.
- 사용자가 ‘How to fix’ 등 안내 버튼을 클릭하면, 악의적인 명령어가 클립보드에 복사된다.
- 사용자는 안내에 따라 이 명령어를 직접 PowerShell이나 명령 프롬프트에 붙여넣고 실행하게 유도된다.
공격 방식의 특징
- 악성코드 직접 실행 유도
: 공격자는 사용자가 직접 명령어를 실행하도록 유도해, 브라우저·OS 보안 우회 - 신뢰 사이트 위장
: MS Office, Google Meet 등 공식 서비스로 위장해 신뢰도 상승 - 다양한 악성코드 유포
: 정보탈취형 악성코드(Stealer), 랜섬웨어, RAT, 암호화폐 채굴기 등 다양한 위협이 이 방식으로 유포됨
실제 사례 및 악성코드 행위
분석된 사례에서는 악성 VBScript가 다음과 같은 행위를 수행한다
- MSHTA 프로세스 체크 및 종료
: mshta.exe가 실행 중이면 종료 - 파일 다운로드 및 실행
: 임시 경로에 Stealc, ram 등 악성 실행파일 2개를 다운로드 및 실행 - 서버와 통신
: 실행 상태와 IP 주소를 공격자 서버로 전송 - 정보 탈취
: Stealc는 브라우저, 암호화폐 지갑 등 민감 정보 탈취
: ram은 추가 악성코드(Rhadamanthys, Danabot 등) 실행
공격의 위험성
- 보안 솔루션 우회
: 사용자가 직접 명령을 실행하므로 기존 보안 솔루션 탐지 우회가 쉬움 - 지속적 정보 탈취
: 여러 종류의 Stealer가 동시에 설치되어 한 개가 삭제돼도 정보 유출이 계속될 수 있음 - 2차 피해
: 탈취된 정보가 다크웹 등에서 거래되어 보이스피싱 등 2차 피해로 이어질 수 있음
대응 및 예방 방법
- 의심스러운 팝업 주의
: 인터넷 사용 중 오류 메시지나 보안 안내 등으로 명령어 복사·실행을 유도하는 경우 각별히 주의 - URL 검사
: 접속 중인 페이지의 URL을 Criminal IP Domain Search 등으로 검사해 악성 도메인 여부 확인 - 보안 인식 교육
: 사용자가 직접 명령어를 실행하는 행위의 위험성에 대한 교육 필요
little by little