✅ 보고서 제목: AI 및 LLM을 활용한 위협 사례 연구 #06: Malvertising & ClickFix

✅ 보고서 요약:

- AI 도구가 업무 환경 전반에 빠르게 확산되면서, 공격자는 사용자가 AI 도구를 검색하고 설치하는 과정을 악용한 사회공학 공격을 수행하고 있습니다.

- 여기서 소개할 공격은 Claude Code 설치 페이지처럼 보이는 가짜 웹사이트를 제작한 뒤, Google Ad를 이용해 최상단에 사용자에게 특정 명령어를 복사해 터미널에서 실행하도록 유도했습니다.

- 해당 공격은 Malvertising을 이용해 사칭 페이지가 검색엔진의 상단에 노출되게 하였고, 사용자가 스스로 명령어를 복사해 직접 실행하도록 유도하는 ClickFix 방식을 사용했습니다.

- 공격자는 Claude Code 설치 페이지로 위장한 사칭 웹사이트를 제작하고, Google Ad를 통해 피해자를 유입시켰습니다.

- 피해자는 정상 설치 과정으로 오인해 웹페이지의 명령어를 직접 실행하며, 이 과정에서 악성코드에 감염됩니다.

- Windows 악성코드는 mp3 파일로 위장한 HTA 파일을 통해 실행됩니다.

- 브라우저 정보 탈취를 수행한 뒤 C2 명령에 따라 추가 payload를 다운로드하거나 실행할 수 있습니다.

- macOS 악성코드는 bash script를 실행하게 하여 AppleScript로 악성행위를 수행합니다.

- 브라우저 정보, 메신저 데이터, 클라우드 및 개발 자격증명, 사용자 문서, 암호화폐 지갑 정보를 수집한 뒤 압축 후 C2로 전송합니다.

- 일부 정상 암호화폐 지갑 앱을 공격자 제작 앱으로 교체하는 기능도 확인되었습니다.

- 사칭 페이지 접근 차단과 의심 명령어 실행 통제, C2 통신 모니터링을 중심으로 대응이 필요합니다.

- 신뢰되지 않는 웹페이지에서 제공하는 mshta, powershell, curl, sh 명령 실행을 제한해야 합니다.

- PowerShell 실행, AMSI 우회, LaunchDaemon 등록, 은닉 디렉터리 생성, C2 통신 여부를 모니터링해야 합니다.

- 감염 확인 시 시스템에서 사용하는 주요 자격증명을 재발급해야 합니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.