피드로 돌아가기
The RegisterSecurity
원문 읽기
계정 탈취를 통한 악성 스크립트 주입 및 OS별 맞춤형 ClickFix 공격 사례
Gizmodo readers hit with ClickFix malware prompts after account compromise
AI 요약
Context
관리자 계정 탈취로 인한 웹사이트 권한 획득 및 악성 스크립트 주입 발생. 사용자 브라우저에서 실행되는 가짜 CAPTCHA 윈도우를 통해 OS별 맞춤형 Payload를 전달하는 사회공학적 공격 구조임.
Technical Solution
- Compromised Account를 통한 CMS 또는 백엔드 시스템 진입 및 악성 JS 스크립트 삽입
- 사용자의 User-Agent 정보를 분석하여 Windows와 macOS를 구분하는 OS별 맞춤형 프롬프트 노출
- Windows 환경에서 NetSupport RAT 설치를 유도하여 원격 제어 및 데이터 Exfiltration 경로 확보
- macOS 환경에서는 ZIP 아카이브 형태의 Payload를 전달하되 실행 권한 및 암호 설정으로 인한 작동 실패
- 침해 사고 인지 후 즉각적인 사이트 오프라인 전환 및 악성 스크립트 제거를 통한 서비스 복구
- 탈취된 계정의 권한 회수 및 보안 설정을 통한 추가 진입 경로 차단
실천 포인트
1. 관리자 계정에 대한 MFA(Multi-Factor Authentication) 필수 적용 여부 검토
2. Content Security Policy(CSP) 설정을 통해 신뢰되지 않은 도메인의 스크립트 실행 차단
3. Third-party 스크립트 및 CMS 플러그인의 무결성 검증 프로세스 구축
4. 비정상적인 스크립트 삽입을 탐지하기 위한 File Integrity Monitoring(FIM) 도입