ClearFake, 9,300개 웹사이트 감염… 가짜 reCAPTCHA로 정보 탈취

 

🚨 ClearFake, 9,300개 웹사이트 감염… 가짜 reCAPTCHA로 정보 탈취

🛑 가짜 보안 인증창을 이용한 멀웨어 유포

사이버 보안 연구자들은 최근 ClearFake 캠페인이 가짜 reCAPTCHA 및 Cloudflare Turnstile을 이용해 사용자들을 속이고, Lumma Stealer 및 Vidar Stealer와 같은 정보 탈취형 악성코드를 유포하고 있다고 밝혔습니다.

ClearFake는 처음 2023년 7월에 발견된 공격 방식으로, 해킹된 워드프레스 사이트를 활용해 가짜 웹 브라우저 업데이트 메시지를 띄우고, 이를 통해 악성코드를 배포하는 특징이 있습니다.

💻 EtherHiding과 ClickFix를 활용한 공격

이 공격은 또한 EtherHiding이라는 기술을 활용하는데, 이는 Binance Smart Chain(BSC) 블록체인의 스마트 컨트랙트를 이용해 다음 단계의 악성코드를 숨기는 방식입니다.

2024년 5월부터는 새로운 사회공학적 기법인 ClickFix를 활용하고 있습니다. ClickFix는 사용자를 속여 악성 PowerShell 코드를 실행하도록 유도하는 방식으로, 마치 시스템 오류를 해결하는 것처럼 보이게 만들며 사용자들을 속입니다.

📌 ClearFake 공격 방식

1. 사용자가 감염된 웹사이트를 방문
2. BSC에서 중간 JavaScript 코드를 로드
3. JavaScript가 사용자 시스템을 분석하고 악성 ClickFix 코드를 다운로드
4. 사용자가 속아 PowerShell 명령어를 실행하면 악성코드가 배포됨
5. 최종적으로 Lumma Stealer 또는 Vidar Stealer 감염

🔍 9,300개 이상의 웹사이트 감염

2025년 1월부터 9,300개 이상의 웹사이트가 감염되었으며, ClearFake 운영자는 매일 새로운 변종을 개발하고 있습니다.

✅ 주요 피해 사례

• 2024년 7월 기준, 약 20만 명의 사용자가 ClearFake의 공격을 받았을 가능성이 있음
• 미국 및 유럽의 자동차 딜러 사이트 100여 곳이 ClickFix 공격에 노출됨
• Binance Smart Chain을 활용한 악성코드 배포 증가

특히, 자동차 딜러 웹사이트 공격의 경우 딜러 자체 사이트가 아닌 제3자 비디오 서비스(LES Automotive)가 해킹되어 악성 JavaScript가 삽입된 것으로 확인되었습니다.

🛡️ 대응 방법 및 보안 조치

ClearFake의 공격은 점점 정교해지고 있으며, 이에 대한 대비책도 필수적입니다.

🔒 기업 및 개인을 위한 보안 수칙

• 웹사이트에서 reCAPTCHA 또는 Cloudflare Turnstile 인증이 뜰 경우, 의심스러운 사이트인지 확인하기
• 브라우저 업데이트를 요청하는 메시지는 직접 브라우저 공식 웹사이트에서 확인 후 실행
• PowerShell 실행 전, 명령어를 반드시 검토하여 악성코드 여부 확인
• 기업은 다중 인증(MFA) 및 강력한 접근 제어를 적용하여 추가 보안 강화

특히, 공격자가 브라우저 세션을 가로채는 BitM(브라우저-인-더-미들) 공격을 수행하는 경우, 실제 사이트와 가짜 사이트를 구분하기 어려울 수 있습니다.

🚀 결론: 보안 위협은 계속 진화 중

ClearFake는 점점 더 진화하고 있으며, 앞으로도 계속해서 새로운 변종이 등장할 가능성이 큽니다. 개인과 기업 모두 최신 보안 패치를 유지하고, 의심스러운 사이트 방문을 자제하는 것이 중요합니다.

💡 여러분은 이런 공격에 대비하기 위해 어떤 보안 조치를 하고 계신가요? 댓글로 의견을 남겨 주세요! 😊

#사이버보안 #ClearFake #정보탈취 #보안위협 #멀웨어 #클릭픽스