[데일리시큐]“메타 계정정지” 경고 주의…정보탈취 악성코드 설치

내용 요약

새로운 FileFix 공격은 피싱 페이지를 통해 ‘Meta’ 계정이 정지된다는 경고를 사칭하고, 사용자가 윈도우 탐색기 주소창에 복사‑붙여넣기를 하도록 유도합니다. 이로 인해 파워셸 명령이 실행되고, 최종적으로 StealC 인포스틸러가 설치됩니다.

핵심 포인트

• 주소창 탈취 기법: 파일 경로 대신 PowerShell 명령을 주소창에 붙여넣게 함으로써 실행을 유도
• 피싱 기반 유도: “7일 내 계정 비활성화” 메시지로 사용자를 심리적으로 압박
• 피해 확장: 설치된 StealC가 인증서, 패스워드 등 민감 정보를 탈취해 악용

기술 세부 내용

1️⃣ FileFix 공격 메커니즘

• 피싱 페이지
  • 공격자는 “Meta” 도메인과 유사한 URL을 사용해 로그인 페이지를 재현
  • 경고 메시지(Your Meta account will be disabled in 7 days)와 ‘확인’ 버튼을 표시
• 복사‑붙여넣기 유도
  • 페이지 하단에 “주소창에 복사 후 붙여넣기” 지시를 삽입
  • 실제로는 powershell.exe -Command "Invoke-Expression ..." 같은 명령이 숨겨져 있음
• 주소창 실행 취약점
  • 윈도우 탐색기의 주소창은 file:// 혹은 powershell:// 프로토콜을 인식해 바로 실행
  • 사용자가 경로를 그대로 붙여넣으면 파워셸 명령이 즉시 실행되어 악성 스크립트가 실행

2️⃣ StealC 인포스틸러 동작

• 설치 및 실행
  • FileFix이 실행된 뒤, StealC.exe가 로컬에 다운로드되어 자동 실행
  • -NoProfile -ExecutionPolicy Bypass 옵션으로 스크립트 차단 우회
• 정보 수집
  • 브라우저 쿠키, 로컬 인증서, Windows Credential Manager 등 저장된 자격 증명 수집
  • 클립보드 모니터링 및 키로깅 기능 포함(옵션)
• 전송
  • 수집된 데이터를 외부 C2 서버(HTTP/HTTPS)로 암호화하여 전송
  • 데이터 패킹 및 포맷팅은 Base64 및 JSON을 활용
• 피해 예방
  • 경로명 및 실행 파일 이름을 정기적으로 검토(예: StealC.exe가 아닌 C:\Users\...)
  • PowerShell 실행 정책을 ‘AllSigned’ 혹은 ‘RemoteSigned’ 로 제한
  • 탐지: Wazuh, OSSEC, EDR에서 ‘Invoke-Expression’ 패턴과 ‘StealC’ 서명을 모니터링

3️⃣ 방어 전략

• 피싱 인식 강화
  • 내부 교육을 통해 URL 검증, 이메일 첨부물 검증 절차 준수
• 주소창 실행 차단
  • Group Policy → User Configuration → Administrative Templates → Windows Components → File Explorer → Turn off the ability to run PowerShell via the address bar 설정
• 엔드포인트 보안
  • 최신 Windows 업데이트 및 패치 적용
  • EDR과 WAF에서 StealC 서명 및 IP 차단
• 로그 모니터링
  • Windows 이벤트 로그에서 Process Creation (Process ID 4688)와 PowerShell 이벤트를 집중적으로 모니터링

위 세 가지 핵심 포인트와 방어 전략을 정기적으로 점검하면 FileFix와 StealC 기반 공격에 대한 대응력을 크게 향상시킬 수 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200465