FileFix 공격이라는 정교한 공격 기법이 현재 윈도우 사용자를 표적으로 삼아 StealC infostealer를 설치하도록 유도하고 있습니다.이 기법을 이용한 다양한 소셜 엔지니어링 캠페인이 등장하여 공격을 실행하고 있습니다.본 글에서는 FileFix 공격의 메커니즘을 설명하고 기기를 보호하기 위한 전략을 제시합니다.
FileFix 공격 이해: StealC 맬웨어 배포 방식
Windows 웹 마크(MoTW)를 우회했던 이전 버전을 기반으로, 현재의 FileFix 공격은 파일 시스템의 취약점을 악용하여 StealC infostealer(EDDIESTEALER와 유사)를 활성화하는 악성 이미지를 다운로드합니다.이 공격이 실행되면 PC 메모리 내에서 작동하여 기존 보안 조치로는 탐지되지 않기 때문에 심각한 위험을 초래합니다.
FileFix 공격이 어떻게 전개되는지에 대한 자세한 분석은 다음과 같습니다.
- 피해자는 페이스북 계정 정지 알림으로 위장한 피싱 사이트로 오인됩니다.사용자는 사고 보고서를 보기 위해 특정 파일 경로를 파일 탐색기에 복사하라는 메시지를 받습니다.하지만 이 경로에는 악성 페이로드가 숨겨져 있어 사용자에게는 정상적인 사이트처럼 보입니다.
- 공격이 실행되면 PowerShell 명령이 트리거되어 숨겨진 스크립트가 포함된 이미지 파일을 다운로드합니다.
- 이후 PowerShell은 숨겨진 콘텐츠를 디코딩하여 StealC 악성코드를 시스템 메모리에 로드합니다.따라서 디스크에 흔적을 남기지 않고 탐지를 거의 불가능하게 만듭니다.이 특정 정보 탈취범은 브라우저 쿠키, 저장된 자격 증명, 암호화폐 지갑 정보와 같은 민감한 데이터를 표적으로 삼습니다.
FileFix 공격에는 StealC infostealer와 Facebook 피싱 페이지가 두드러지게 나타나지만, 해당 프레임워크는 다양한 맬웨어 종류를 배포하는 다양한 피싱 작전에 재활용될 수 있을 만큼 다재다능합니다.
FileFix 공격으로부터 보호 유지
FileFix 공격의 교활함에도 불구하고, 보안을 강화하기 위한 사전 예방 조치를 취할 수 있습니다.이 악성 캠페인으로부터 자신을 보호하기 위한 실질적인 권장 사항은 다음과 같습니다.
- 명령어 복사/붙여넣기 금지: 실행, CMD, 파일 탐색기 등 운영 체제의 어떤 부분에서도 파일 경로나 명령어를 복사하여 붙여넣지 마십시오.악성 코드가 실수로 실행되는 것을 방지하기 위해 가능하면 명령어를 직접 입력하세요.
- PowerShell 보안 강화: 많은 공격이 PowerShell 스크립트를 악용하므로, 무단 스크립트 실행을 방지하기 위해 보안 설정을 강화하세요. PowerShell 보안에 대한 전체 가이드를 참조하세요.
- 메모리 검사 기능이 있는 바이러스 백신을 선택하세요: 실시간 메모리 검사가 가능한 바이러스 백신 솔루션을 선택하세요.Bitdefender 나 ESET 과 같은 프로그램은 강력한 메모리 검사 기능을 제공합니다.
- 표준 사용자 계정을 활용하세요. 관리자 계정은 높은 권한이 필요한 맬웨어 공격에 더 취약하므로, 일상적인 작업은 관리자 계정 대신 표준 사용자 계정을 사용하여 수행하세요.
악성 명령을 실행한 경우 취해야 할 조치
FileFix 공격을 통해 기기가 손상되었다고 의심되는 경우, 즉각적인 조치가 매우 중요합니다.다음 단계를 체계적으로 따라 PC와 계정을 보호하세요.
- 인터넷 연결 해제: 네트워크 연결을 즉시 해제하면 정보 탈취범이 훔친 데이터를 명령 및 제어(C2) 서버로 전송하는 것을 방지하는 데 도움이 됩니다.신속한 조치를 취하면 피해를 최소화할 가능성이 높아집니다.
- 비밀번호 변경: 다른 안전한 기기를 사용하여 감염된 PC에서 접근하는 모든 계정의 비밀번호를 변경하세요.공격자는 일반적으로 자격 증명에 접근한 후 빠르게 행동하므로 지체 없이 변경하세요.
- Microsoft Defender 오프라인 검사 실행: 오프라인 검사는 신뢰할 수 있는 환경을 활용하여 종합적인 시스템 검사를 수행합니다. Windows 보안 앱에서 검사 옵션에 액세스하세요.바이러스 및 위협 방지 → 검사 옵션 → Microsoft Defender 바이러스 백신(오프라인 검사).
- 시작 및 실행 중인 프로세스 모니터링: 검사 후 시작 항목과 현재 실행 중인 프로세스를 검사하여 악성 파일을 식별하고 제거합니다.Autoruns 및 Process Explorer를 사용하여 프로세스의 적법성을 확인합니다.
- Windows 초기화 또는 복원: 이전 방법으로 문제가 해결되지 않으면 Windows 초기화 또는 복원을 통해 지속적인 정보 유출을 방지하는 것이 좋습니다.필요에 따라 시스템 복원 또는 새로 설치 중 하나를 선택하세요.
요약하자면, FileFix와 같은 공격은 피싱 및 소셜 엔지니어링 전략을 활용하여 악성 명령을 실행합니다.항상 경계하고 시스템 안전을 위협할 수 있는 원치 않는 요청을 피하십시오.신뢰할 수 있는 온라인 보안 도구를 사용하면 위협 탐지 능력을 향상시킬 수 있습니다.
답글 남기기