피드로 돌아가기
Gizmodo readers hit with ClickFix malware prompts after account compromise
The RegisterThe Register
Security

계정 탈취를 통한 악성 스크립트 주입 및 OS별 맞춤형 ClickFix 공격 사례

Gizmodo readers hit with ClickFix malware prompts after account compromise

2026년 6월 22일1intermediate

Context

관리자 계정 탈취로 인한 웹사이트 권한 획득 및 악성 스크립트 주입 발생. 사용자 브라우저에서 실행되는 가짜 CAPTCHA 윈도우를 통해 OS별 맞춤형 Payload를 전달하는 사회공학적 공격 구조임.

Technical Solution

  • Compromised Account를 통한 CMS 또는 백엔드 시스템 진입 및 악성 JS 스크립트 삽입
  • 사용자의 User-Agent 정보를 분석하여 Windows와 macOS를 구분하는 OS별 맞춤형 프롬프트 노출
  • Windows 환경에서 NetSupport RAT 설치를 유도하여 원격 제어 및 데이터 Exfiltration 경로 확보
  • macOS 환경에서는 ZIP 아카이브 형태의 Payload를 전달하되 실행 권한 및 암호 설정으로 인한 작동 실패
  • 침해 사고 인지 후 즉각적인 사이트 오프라인 전환 및 악성 스크립트 제거를 통한 서비스 복구
  • 탈취된 계정의 권한 회수 및 보안 설정을 통한 추가 진입 경로 차단

1. 관리자 계정에 대한 MFA(Multi-Factor Authentication) 필수 적용 여부 검토

2. Content Security Policy(CSP) 설정을 통해 신뢰되지 않은 도메인의 스크립트 실행 차단

3. Third-party 스크립트 및 CMS 플러그인의 무결성 검증 프로세스 구축

4. 비정상적인 스크립트 삽입을 탐지하기 위한 File Integrity Monitoring(FIM) 도입

원문 읽기