뉴스로 돌아가기
속보

ClickFix 캠페인이 Windows App-V를 악용해 Amatera 정보 유출 악성코드 배포

3분 읽기출처: BleepingComputer

보안 연구진이 ClickFix 기법과 가짜 CAPTCHA, 서명된 Microsoft App-V 스크립트를 결합해 Amatera 정보 유출 악성코드를 배포하는 새로운 악성 캠페인을 발견했습니다.

ClickFix 공격 체인이 Windows App-V를 활용해 Amatera 정보 유출 악성코드 전달

보안 연구진들이 ClickFix 기법과 가짜 CAPTCHA 프롬프트, 그리고 서명된 Microsoft Application Virtualization(App-V) 스크립트를 결합해 Amatera 정보 유출 악성코드를 Windows 시스템에 배포하는 새로운 악성 캠페인을 발견했습니다. 이 공격은 보안 제어를 우회하고 탐지를 회피하기 위한 진화된 전술을 보여줍니다.

공격 개요 및 기술적 세부 사항

이 캠페인은 사용자가 악성 웹사이트나 악성 광고(malvertising)에 접속하면서 시작되며, 이때 가짜 CAPTCHA 인증 프롬프트가 나타납니다. 피해자가 CAPTCHA와 상호작용하면 공격 체인이 시작되며, ClickFix라는 기법을 활용합니다. ClickFix는 HTML 인젝션을 악용해 사용자 클릭을 조작하고 악성 스크립트를 실행하는 방법입니다.

공격자들은 Microsoft App-V라는 합법적인 애플리케이션 가상화 기술을 악용해 서명된 App-V 스크립트를 통해 임의 명령을 실행합니다. 이 기법은 App-V 스크립트가 Windows 시스템에서 기본적으로 신뢰받기 때문에 보안 제한을 우회할 수 있게 합니다. 최종 페이로드인 Amatera는 로그인 자격 증명, 브라우저 쿠키, 암호화폐 지갑 정보 등 민감한 데이터를 유출하도록 설계된 정보 유출 악성코드입니다.

이 공격의 주요 기술적 요소는 다음과 같습니다:

  • 사용자를 속여 공격 체인을 시작하게 만드는 가짜 CAPTCHA 프롬프트.
  • 사용자 상호작용을 조작하기 위한 ClickFix HTML 인젝션.
  • 신뢰 수준이 높은 상태로 악성 명령을 실행하는 서명된 App-V 스크립트.
  • 데이터 유출 및 지속성을 위한 Amatera 정보 유출 악성코드.

영향 및 위험 평가

Amatera 정보 유출 악성코드는 개인과 조직 모두에게 상당한 위험을 초래합니다. 일단 배포되면 이 악성코드는 다음과 같은 활동을 수행할 수 있습니다:

  • 로그인 자격 증명, 브라우저 쿠키, 자동 입력 데이터 수집.
  • 암호화폐 지갑 정보 및 기타 금융 정보 탈취.
  • 감염된 시스템에 지속성을 확보해 장기적인 데이터 유출 가능.

서명된 App-V 스크립트의 사용은 이러한 스크립트가 일반적으로 보안 솔루션에서 화이트리스트로 등록되기 때문에 탐지를 복잡하게 만듭니다. 이 캠페인은 애플리케이션 가상화 도구사용자 시작 스크립트 실행에 대한 철저한 모니터링의 필요성을 강조합니다.

대응 및 권고 사항

보안 팀은 이 캠페인과 관련된 위험을 완화하기 위해 다음 조치를 취해야 합니다:

  1. App-V 스크립트 실행 모니터링 및 제한

    • 서명된 App-V 스크립트의 실행을 신뢰할 수 있는 출처로만 제한하도록 감사 및 제한.
    • 애플리케이션 화이트리스트를 구현해 승인되지 않은 스크립트 실행을 방지.

  2. 사용자 인식 강화

    • 직원이 가짜 CAPTCHA 프롬프트와 의심스러운 웹 상호작용을 인식하도록 교육.
    • 비정상적인 팝업이나 인증 요청 보고를 장려.

  3. 고급 위협 탐지 구축

    • 엔드포인트 탐지 및 대응(EDR) 솔루션을 활용해 비정상적인 스크립트 실행 모니터링.
    • 행위 분석을 구현해 승인되지 않은 데이터 유출과 같은 정보 유출 악성코드 활동을 탐지.

  4. 시스템 업데이트 및 패치

    • 모든 Windows 시스템가상화 도구를 최신 보안 패치로 업데이트.
    • 업무에 필요하지 않은 경우 App-V를 비활성화하거나 제한.

  5. 네트워크 수준 보호

    • Amatera 및 유사한 정보 유출 악성코드와 연관된 알려진 악성 도메인 차단.
    • 웹 필터링을 배포해 악성 광고 및 피싱 사이트로의 접근 방지.

결론

이 캠페인은 사회 공학, 합법적 도구 악용, 악성코드 배포를 단일 공격 체인에 결합한 현대 사이버 위협의 정교함을 보여줍니다. 조직은 이러한 위협을 효과적으로 탐지하고 완화하기 위해 다층적 보안 접근 방식을 채택해야 합니다. 경계, 사용자 교육, 사전 모니터링이 이러한 진화하는 전술에 대응하는 데 필수적입니다.

공유

TwitterLinkedIn