
ClickFix 공격은 가짜 캡차(CAPTCHA) 인증, 웹 페이지 오류 화면으로 위장한 가짜 안내문을 이용해 사용자가 스스로 악성 cmd, powershell 명령어를 실행하도록 유도하는 공격 기법이다. 최근 발견된 공격 캠페인에서 ClickFix 기법을 활용해 CastleLoader 를 메모리에 로딩한 후 정보 탈취, RAT 페이로드를 유포하는 정황이 발견됐다.
이번 공격에 사용된 CastleLoader 는 다음과 같은 흐름으로 진행된다.

ClickFix 공격
발견된 ClickFix 캠페인은 Claude AI 로 위장한 도메인을 사용해 사용자들을 유인한다. 사이트에 접속하면 사용자에게 로봇이 아님을 증명하라는 가짜 CAPTCHA 안내문이 나타난다. 페이지에 접속하면 자바스크립트에 의해 난독화된 악성 명령어가 클립보드로 복사되며, 안내문에 속은 사용자가 “실행” 창에 악성 명령어를 복사하고 실행하면 공격이 이어진다.


실행된 명령어는 Windows OS 에서 제공하는 네트워크 조회 프로그램인 finger.exe 를 실행해 공격자가 운영하는 서버로부터 추가 명령어를 읽고 차례대로 실행한다. 실행된 명령어는 curl.exe 를 이용해 Github으로부터 IronPython 실행 파일을 다운로드하고 무작위 이름으로 변경한다. 이름이 변경된 IronPython 실행 파일은 명령어와 함께 다운로드된 악성 파이썬 스크립트를 실행하는데 사용된다.

파이썬 스크립트는 Base64 문자열을 디코딩, 압축 해제해 새로운 공격자 서버로부터 또 다른 악성 파이썬 스크립트를 다운로드하는 코드를 실행한다.

공격자 서버에서 다운로드한 파이썬 스크립트는 대량의 Base64 문자열 중 일부 문자를 치환, 디코딩하고 실행한다. 디코딩된 스크립트는 현재 프로세스에 메모리를 할당하고 Base64 디코딩, XOR 연산 결과 생성된 악성 셸 코드(Shell Code)를 실행한다.


메모리에 로딩된 셸 코드는 공격자 서버로부터 RC4 알고리즘으로 암호화된 바이너리 데이터를 다운로드, 복호화한다. 복호화된 데이터는 또 다른 셸 코드와 CastleLoader 데이터이며, 이를 실행하기 위해 단순히 CALL 명령어를 사용하지 않고 comdlg32.dll 의 ReplaceTextW() API 인자로 전달되는 콜백 함수에 EntryPoint 주소를 설정한다.

복호화된 두 번째 셸 코드는 함께 다운로드된 바이너리 데이터를 XOR 연산해 CastleLoader 코드를 생성하고 Reflective 로딩 기법을 사용해 실행한다.

CastleLoader
일련의 과정을 통해 로딩된 CastleLoader 는 본격적인 악성 행위를 수행할 페이로드를 다운로드하는 수단에 불과하다. 과거 보고된 사례에 따르면 CastleLoader 를 통해 다운로드되는 페이로드는 주로 LummaStealer 와 같은 정보 탈취형이나 RAT 유형의 악성 파일이다.
CastleLoader 에서 사용되는 문자열은 대부분 코드에 섞인 채 저장됐다가 실행 직전에 스택에서 재조립돼 Campaign ID, 공격자 서버 주소, access_key, Mutex 와 같은 설정 값으로 사용된다. 만약 Mutex 문자열과 동일한 Mutex 가 이미 존재하면 중복 실행으로 간주해 악성 행위 없이 종료된다.

CastleLoader 와 서버 간 통신 패킷은 ChaCha20 암호화 + Base64 인코딩이 적용된다. 서버와 최초 통신 시 [표 1]과 같은 초기 설정 정보를 다운로드하고 기능을 수행한다.

초기 설정 다운로드 후 머신 ID, OS 버전, 컴퓨터 이름, 사용자 이름과 같은 기본적인 시스템 정보를 수집해 서버에 전달하고 Task 정보를 수신한다. Task 패킷에는 [표 2]와 같이 다운로드할 파일의 경로, 실행 방법과 같은 설정 값들을 가지며, CastleLoader 는 이를 반영해 페이로드를 다운로드하고 실행한다.

이번에 소개한 ClickFix 공격 기법은 일상 생활에서 흔히 접할 수 있는 CAPTCHA, 에러 메시지를 이용해 사용자가 악성 명령어를 실행하도록 유도하며, 관리자 권한으로 실행된 명령어는 공격자 서버로부터 추가 명령어, 악성 파일을 다운로드해 정보 탈취 및 시스템 장악으로 이어질 수 있다. 따라서 사용자는 스크립트, 실행 파일을 실행하기 전에 신뢰할만한 출처의 도메인인지 확인하고 어떤 기능을 수행하는 명령인지 검증해 시스템에 의도치 않은 영향이 생기지 않도록 주의해야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.


'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| 오픈소스 게임 개발 도구 RenPy로 유포되는 HijackLoader (0) | 2026.06.02 |
|---|---|
| PyPI mistralai 패키지 공급망 침해 분석 (0) | 2026.05.19 |
| CPU-Z 공급망 공격 분석 (1) | 2026.05.12 |
| 해커조직 TeamPCP, LiteLLM PyPI에 악성코드 삽입 (0) | 2026.04.21 |
| ILSpy 홈페이지로 위장한 멀웨어 유포 주의 (0) | 2026.04.15 |