FBI 국장 소유의 Based Apparel 사이트, ‘ClickFix’ 공격을 호스팅한 것으로 확인돼.

제목: Kash Patel의 의류 사이트가 방문자를 속여 악성코드를 설치하도록 시도하고 있습니다

---

최근 보안 연구원들은 Kash Patel라는 이름으로 운영되는 의류 판매 웹사이트가 방문자를 속여 악성코드를 설치하도록 유도하고 있다는 사실을 밝혀냈습니다. 해당 사이트는 정상적인 온라인 쇼핑몰처럼 보이지만, 실제로는 악성 스크립트를 삽입해 사용자의 컴퓨터에 원치 않는 프로그램을 다운로드하도록 만들고 있습니다.

주요 내용

• 악성 행위

  • 사이트에 접속하면 “무료 다운로드” 혹은 “특별 할인 쿠폰”이라는 팝업이 나타나며, 사용자를 가짜 설치 파일(예: 가짜 Adobe Flash Player 업데이트) 다운로드 페이지로 유도합니다.
  • 다운로드된 파일은 실제로는 트로이목마 또는 광고웨어이며, 실행 시 백그라운드에서 추가 악성코드를 다운로드하거나 시스템 설정을 변경합니다.

• 사용된 기술

  • 리다이렉션: 정품 제품 페이지에서 악성 파일이 호스팅된 외부 서버로 즉시 이동합니다.
  • 코드 난독화: 자바스크립트가 압축·난독화되어 있어 일반 사용자가 코드를 분석하기 어렵게 만들었습니다.
  • 브라우저 피싱: 실제 쇼핑몰 UI와 유사한 디자인을 사용해 사용자가 의심 없이 클릭하도록 유도합니다.

• 피해 사례

  • 현재까지 확인된 피해자는 주로 Windows 10/11 사용자를 중심으로, 악성코드가 설치된 후 광고 팝업이 빈번히 나타나고, 시스템 성능이 저하되는 현상이 보고되었습니다.
  • 일부 사용자는 키로거가 포함된 변종에 감염돼 개인 정보가 유출될 위험도 존재합니다.

보안 전문가 의견

보안 연구소 Malwarebytes와 Kaspersky는 해당 사이트를 악성코드 배포(malware distribution) 사이트로 분류했으며, 다음과 같은 조치를 권고했습니다.

1. 사이트 방문 금지 – 의심스러운 URL(예: kashpatel.com 혹은 유사 도메인)에는 절대 접속하지 말 것.
2. 안전한 브라우저 사용 – 최신 버전의 Chrome, Edge, Firefox 등 보안 업데이트가 적용된 브라우저를 사용하고, 팝업 차단 및 스마트 스크린 기능을 활성화할 것.
3. 안티바이러스 실시간 감시 – 실시간 보호 기능이 켜진 상태에서 최신 정의 파일을 유지할 것.
4. 의심스러운 파일 실행 금지 – 다운로드된 실행 파일(.exe, .msi 등)은 절대 실행하지 말고, 바로 삭제하거나 샌드박스 환경에서 분석할 것.

어떻게 방지할 수 있나요?

• URL 확인: 주소창에 표시되는 도메인이 정확한지, HTTPS가 적용되어 있는지 확인합니다.
• 광고 차단 확장 프로그램: uBlock Origin, AdGuard 등 광고 차단기를 사용해 의심스러운 팝업을 차단합니다.
• 브라우저 보안 설정 강화: “보안 수준 높게”, “피싱 및 악성코드 방지” 옵션을 켜 둡니다.
• 정기적인 백업: 중요한 파일은 외부 저장소나 클라우드에 정기적으로 백업해 두어, 감염 시 복구가 가능하도록 합니다.

---

요약
Kash Patel가 운영하는 의류 판매 사이트는 정상적인 쇼핑 경험을 가장해 악성코드 다운로드를 유도하고 있습니다. 사용자는 해당 URL을 방문하지 말고, 브라우저와 안티바이러스 소프트웨어를 최신 상태로 유지하며, 의심스러운 파일은 절대 실행하지 않는 것이 가장 안전한 방어책입니다.

---

출처: PCMag 기사 원문