CrashFix ClickFix 변종: 브라우저 크래시·Python RAT 공격
요약
새로운 ClickFix 변종인 ‘CrashFix’는 악성 확장으로 브라우저 크래시 루프를 일으킨 뒤, 이를 해결하는 것처럼 속여 사용자가 직접 명령을 실행하게 만드는 사회공학 공격입니다. 특히 이름을 바꾼 finger.exe 같은 정상 도구(LOLBin)와 PowerShell, Python RAT를 결합해 도메인 가입 시스템을 선별적으로 노리므로, 기존 시그니처 기반 보안을 우회하고 기업 환경에 더 큰 위협이 될 수 있다는 점이 중요합니다.
Security 관련 도움이 필요하신가요?전문가와 상담하기
소개
ClickFix는 전통적으로 소셜 엔지니어링을 통해 사용자가 공격자가 제공한 명령을 실행하도록 유도해 왔습니다. 새로운 CrashFix 변종은 먼저 사용자 경험을 방해(브라우저 DoS/크래시 루프) 한 뒤 “해결” 워크플로를 제시해 피해자가 직접 명령을 실행하도록 유도함으로써 성공률을 높입니다. 이는 익스플로잇 의존도를 낮추는 동시에 은밀성을 강화합니다. IT 팀 입장에서는 사용자 주도 실행 + LOLBins + 스크립트 페이로드 조합이 전통적인 시그니처 기반 방어를 우회할 수 있음을 상기시키는 사례입니다.
CrashFix의 새로운 점(핵심 동작)
1) 지연된 사보타주를 수행하는 악성 확장
- 초기 접근은 종종 사용자가 광고 차단기를 검색하고 악성 광고를 클릭하는 것에서 시작됩니다.
- 사용자는 Chrome Web Store로 리디렉션되어 uBlock Origin Lite를 사칭한 확장을 설치하게 되며, 이를 통해 허위의 정당성이 부여됩니다.
- 확장은 지연 실행을 사용해 브라우저 문제가 나중에 발생하도록 하여, 사용자가 증상을 확장 설치와 연관 짓기 어렵게 만듭니다.
2) 브라우저 크래시 루프 + 가짜 “CrashFix” 프롬프트
- 페이로드는 무한 루프를 통해 브라우저 서비스 거부를 유발한 다음, 가짜 보안 경고/팝업을 표시합니다.
- 팝업은 사용자가 (예: Windows Run을 통해) 명령을 실행하도록 설득해, 사용자를 실행 메커니즘으로 전환합니다.
3) LOLBin 악용: finger.exe를 이름 변경 후 로더로 사용
- 주목할 만한 변화는 정식 Windows 유틸리티 finger.exe를 악용하는 것으로, 이를 temp 위치로 복사한 뒤 (예: ct.exe)로 이름을 바꿔 탐지를 회피합니다.
- 이름이 변경된 바이너리는 외부로 연결해 난독화된 단계적 PowerShell 체인을 가져오며, 이 체인은 사용자 프로필 위치에 추가 페이로드를 드롭합니다.
4) 타깃팅 로직: 도메인 가입 시스템에 백도어 배포
- PowerShell 스크립트는 환경 점검(예: 디바이스가 domain-joined인지 여부)과 분석 도구 존재 여부를 확인합니다.
- 더 높은 가치의 엔터프라이즈 조건이 감지되면 portable WinPython distribution과 Python RAT(Microsoft는 이를 ModeloRAT로 지칭)를 다운로드합니다.
5) 지속성 및 후속 페이로드
- 지속성은 HKCU\Software\Microsoft\Windows\CurrentVersion\Run을 통해 설정되며, 눈에 띄는 흔적을 최소화하기 위해 pythonw.exe를 사용합니다.
- 추가 페이로드 전달에는 클라우드 호스팅(예: Dropbox)에서의 다운로드가 포함되며, 이후 체인에서는 예약된 작업 지속성(예: **“SoftwareProtection”**라는 작업)을 사용해 Python 페이로드를 반복 실행합니다.
IT 관리자와 최종 사용자에 대한 영향
- 최종 사용자는 갑작스러운 브라우저 크래시, 반복되는 “보안” 팝업, 또는 문제 해결을 위해 명령을 실행하라는 지시를 보고할 수 있습니다.
- 관리자는 웹, 엔드포인트, ID 전반에 걸친 혼합된 행위를 예상해야 합니다. 의심스러운 확장 설치, LOLBin 실행 패턴, PowerShell 난독화, 사용자 영역에 드롭된 Python 인터프리터, 새로운 Run 키, 의심스러운 예약 작업 등이 포함됩니다.
- domain-joined 시스템에서의 선택적 배포는 엔터프라이즈 접근을 우선시하려는 의도를 시사합니다.
조치 사항 / 다음 단계
- 빠르게 진화하는 변종을 탐지할 수 있도록 Microsoft Defender Antivirus cloud-delivered protection(또는 동등 기능)을 활성화하세요.
- 다른 AV가 기본인 경우에도 사후 침해 아티팩트를 차단할 수 있도록 Microsoft Defender for Endpoint EDR in block mode를 활성화하세요.
- 브라우저 확장에 대한 통제를 점검하고 강화하세요(allowlists, 확장 설치 제한, 신규 설치 모니터링).
- 다음과 같은 의심 패턴을 헌팅하세요:
finger.exe의 복사/이름 변경(예:ct.exe) 및 예상치 못한 외부 연결- 다운로드 활동을 생성하는 난독화된 PowerShell
pythonw.exe를 호출하는 새로운 HKCU Run 항목- 몇 분마다 스크립트를 실행하는 정상처럼 보이는 이름(예: “SoftwareProtection”)의 예약 작업
- 사용자 안내를 강화하세요: 팝업에서 제시하는 “해결” 명령은 절대 실행하지 말 것; 브라우저 크래시 루프와 예기치 않은 확장 프롬프트는 즉시 보고하도록 하세요.
Microsoft 기술 최신 정보 받기
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT