🎯 ClickFix 피싱 캠페인 개요

최근 마이크로소프트 위협 인텔리전스 팀은 ‘ClickFix’ 피싱 캠페인을 발견하고 이를 경고했다.
이 공격은 환대(Hospitality) 산업을 타겟으로 가짜 Booking.com 이메일을 발송하여 자격 증명을 탈취하고 악성코드를 배포하는 방식으로 이루어진다.

🔎 주요 특징:

• 목적: 금융 사기 및 계정 탈취
• 공격 대상: 호텔, 여행사 등 환대 산업 종사자
• 수법: 가짜 Booking.com 이메일을 통해 악성 코드 감염 유도
• 사용된 악성코드: XWorm, Lumma Stealer, VenomRAT

📌 공격 방법 및 특징

1️⃣ 가짜 Booking.com 이메일 발송

• 공격자는 Booking.com을 사칭한 이메일을 발송하며, 고객 불만 사항 또는 리뷰 피드백 요청과 같은 내용을 포함.
• 이메일에는 악성 PDF 첨부파일 또는 악성 웹사이트 링크가 포함됨.

2️⃣ 가짜 CAPTCHA 페이지로 유도

• 사용자가 링크를 클릭하면 CAPTCHA 페이지로 이동.
• 실제 CAPTCHA처럼 보이지만 사용자의 키보드 입력을 유도하는 ‘ClickFix’ 기법이 적용됨.

3️⃣ 악성 코드 다운로드 및 실행

• 사용자가 CAPTCHA를 통과하면 mshta.exe 프로세스를 통해 악성 코드 다운로드.
• 이후 XWorm, Lumma Stealer, VenomRAT과 같은 악성코드가 실행되어 사용자의 계정 정보를 탈취.

4️⃣ 환대 산업 종사자를 주요 표적으로 설정

• 호텔 예약 시스템, 고객 데이터베이스 등을 해킹하여 고객 및 기업 정보 탈취.
• 이후 2차 공격(랜섬웨어, 추가 피싱 공격 등)으로 확산 가능성 존재.

🛡️ 대응 방안 및 보안 권장 사항

✅ 1. 이메일 보안 강화

• 발신자 주소 확인: Booking.com 공식 이메일인지 확인
• 의심스러운 첨부파일 열지 않기: PDF, HTML 첨부파일 클릭 전 확인
• 링크 미리보기: 이메일 내 링크가 공식 Booking.com 사이트인지 확인

✅ 2. 보안 훈련 및 인식 제고

• 사회공학적 공격 교육: 직원들에게 최신 피싱 기법 경고
• 모의 피싱 훈련: 정기적으로 가짜 피싱 메일 테스트 실시

✅ 3. 기술적 보안 조치

• 이메일 필터링 시스템 적용: 악성 이메일 차단
• 보안 소프트웨어 최신 업데이트 유지: 최신 패치 적용
• 네트워크 모니터링 강화: 이상 트래픽 탐지 및 대응

🔮 결론 및 전망

ClickFix 피싱 캠페인은 기존의 피싱 공격보다 더욱 정교한 사회공학적 기법을 활용하여 환대 산업을 노리고 있다.
특히 CAPTCHA 페이지를 이용한 새로운 방식의 해킹 기법이 적용되었으며, 기업들은 이에 대한 대응책을 마련해야 한다.

• 환대 산업 종사자: 이메일 보안 훈련 및 계정 보호 조치 필수
• IT 보안팀: 네트워크 감시 및 멀웨어 탐지 솔루션 강화 필요

📌 Q&A (자주 묻는 질문)

Q1. ClickFix 피싱 캠페인은 누구를 대상으로 하나요?

✅ 주로 호텔, 여행사, 예약 플랫폼 관계자 등 환대 산업 종사자를 표적으로 합니다.

Q2. 이 공격은 기존 피싱 공격과 무엇이 다른가요?

✅ CAPTCHA 페이지를 악용한 ‘ClickFix’ 기법을 사용하여 보안 시스템을 우회하고 사용자의 키 입력을 유도하는 점이 특징입니다.

Q3. 어떻게 보호할 수 있나요?

✅ 의심스러운 이메일 첨부파일 및 링크 클릭 금지, 보안 소프트웨어 최신 업데이트, 다중 인증(MFA) 적용 등을 통해 방어할 수 있습니다.

🔗 관련 태그

#ClickFix #피싱공격 #마이크로소프트 #BookingScam #XWorm #LummaStealer #VenomRAT #환대산업해킹 #이메일보안 #사이버보안