상세 컨텐츠

본문 제목

ClickFix 변종, FileFix 공격 주의!

국내외 보안동향

by 알약4 2025. 7. 17. 09:43

본문

 

 

최근 사이버 공격자들은 사용자 경계심을 무너뜨리는 정교한 사회공학 기반 공격 기법을 적극 활용하고 있습니다.  

특히 2024년 하반기부터 급격히 확산된 ClickFix 공격이 최근 FileFix 공격으로 진화하여 등장하였고, 실제 악성코드 유포에도 활용되고 있어 주의가 필요합니다. 

 

ClickFix 공격에 대한 내용은 지난 포스팅 내용을 참고하시기 바랍니다. 

가짜 캡차 인증 페이지를 이용해 악성코드 실행을 유도하는 공격 주의! 

 

FileFix 공격은 윈도우 ‘실행’ 창(윈도우 키 +R)을 실행하여 악성 명령을 붙여 넣는 ClickFix와 달리 사용자에게 익숙한 인터페이스인 윈도우 탐색기(Exploprer) 주소창에서 악성 명령이 실행되도록 유도한다는 점에서 차이가 있습니다. 

 

해당 공격은 보안 연구원 mrd0x가 ClickFix의 개념 증명(PoC) 대안인 FileFix를 시연하면서 개발되었고, 연구원이 고안한 공격 시나리오에 따르면 공격자는 피싱 페이지에서 “파일이 공유 되었다”라는 안내와 함께, 파일에 접근하기 위한 절차를 안내합니다. 

 

 

[그림 1] 파일 경로 복사 및 탐색기 실행을 유도하는 피싱 페이지

 

사용자가 안내된 내용에 따라 파일 경로를 복사하면 실제로는 파워쉘 명령이 포함된 문자열이 클립보드에 복사되고, 이후 윈도우 탐색기를 실행하여 주소창 (CTRL+L)에 붙여 넣도록 유도합니다. 

 

 

[그림 2] 윈도우 탐색기 실행 후 주소창에 복사된 악성 명령 문자열

 

이때 복사되는 문자열은 파일 경로처럼 보이지만, 실제로는 복사된 파일 경로를 변경하여 파워쉘 명령을 앞에 붙인 다음, 공백을 추가하여 보이지 않게 숨기고 파운드 기호(#)를 추가하여 가짜 파일 경로를 주석으로 처리합니다.  

 

예시) " Powershell.exe -c ping example.com<space># C:\<path_to_file>\decoy.doc<space> " 

 

이로 인해 사용자가 탐색기 주소창에 복사한 파일 경로를 붙여 넣었을 때 사용자에게는 주석 처리된 가짜 파일 경로만 보여져 파워쉘 명령어가 입력된 내용을 인지하지 못하게 됩니다. 

 

[그림 3] 입력된 문자열 앞부분에 추가된 파워셀 명령어 부분

 

사용자가 탐색기 주소창에 붙여넣고 Enter를 누르면, 실제 파워쉘 명령이 실행되어 악성코드가 동작하게 됩니다.

 

 

실제 FileFix 공격이 활용된 사례

 

최근 보고된 The DFIR 보고서 따르면 연구진은 Interlock 랜섬웨어 조직의 새로운 공격 사례를 분석하며, 해당 조직이 FileFix 방식을 통해 PHP 기반의 Interlock RAT 변종 악성코드를 유포한 정황을 포착했습니다. 

 

공격자는 먼저 정상 웹사이트에 악성 스크립트를 삽입하여 감염 경로를 구성했습니다. 

이후 접속한 사용자에게 캡차 인증 화면을 표시하여 클릭하도록 요구한 후 인증 단계를 완료하기 위한 절차를 진행하도록 유도합니다. 

 

[그림 4] Interlock RAT 악성코드 유포에 활용된 FileFix 공격

 

사용자가 안내된 내용에 따라 [START VERIFICATION] 버튼을 클릭하게 되면 파워쉘 명령어가 클릭보드로 복사되고, 이후 윈도우 탐색기를 실행하여 주소창에 붙여 넣으면 파워셀 스크립트가 실행되어, 최종적으로 Interlock RAT이 실행되게 됩니다. 

FileFix는 단순한 사회공학을 넘어, 익숙한 인터페이스를 악용하여 사용자로 하여금 경계심을 약화시켜 공격의 성공률을 높인 고도화된 공격 방식이라 할 수 있습니다. 

ESRC에서는 이러한 형태의 공격이 아직까지 국내에서 발견된 사례는 확인되지 않았으나 추후 유사한 형태로 발견될 가능성이 높아 지속적인 모니터링을 진행하고 있습니다. 

 

 

 

 

참고:

https://thehackernews.com/2025/06/new-filefix-method-emerges-as-threat.html https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/ 

저작자표시 비영리 변경금지 (새창열림)

'국내외 보안동향' 카테고리의 다른 글

구글 ASP(앱 비밀번호)를 악용한 새로운 피싱 공격 발견  (1) 2025.06.27
BPF 필터를 악용하는 BPFDoor 리눅스 악성코드 주의!  (0) 2025.04.29
링크 없이 유포되는 “콜백 스미싱” 주의!  (0) 2025.04.11
가짜 캡차 인증 페이지를 이용해 악성코드 실행을 유도하는 공격 주의!  (1) 2024.09.24
韓美英 합동 사이버보안권고문 : 北 안다리엘의 해킹활동  (0) 2024.07.26

관련글 더보기

댓글 영역

티스토리툴바