Microsoft, Windows Terminal 악용한 ClickFix Lumma Stealer 캠페인 공개

Microsoft는 최근 Windows Terminal(wt.exe)을 공격 매개체로 활용하는 새로운 ClickFix 사회공학 캠페인을 공개했다. 이 캠페인은 사용자의 컴퓨터에서 Run 대화상자를 감지하여 탐지를 우회하면서, Windows Terminal의 신뢰성을 악용한다는 점이 특징이다.

공격자는 사용자가 자주 사용하는 Windows + X 키를 눌러 I를 입력하는 방법(Windows + X → I)으로 Terminal을 실행하도록 유도한다. 이 단축키는 Windows 10 이상에서 기본적으로 제공되며, 많은 사용자가 일상적으로 활용하기 때문에 의심 없이 따르기 쉽다. Terminal은 명령 프롬프트보다 modern한 인터페이스를 제공하지만, 내부적으로는 동일한 PowerShell 명령을 실행할 수 있다는 점을 악용한 것이다.

공격의 핵심은 사용자가 Terminal 창에 복사와 붙여넣기 하도록 만드는 것이다. 웹페이지나 이메일에 표시된 것처럼 보이지만 실제로는 무해한 설명서를 따르다 보면, 무의식적으로 악성 명령을 실행하게 된다. 이러한 공격 방식은 사용자의 경계심리를 우회하여 효과적으로 맬웨어를 배포할 수 있다는 점에서 매우 위험하다.

Hex 인코딩과 XOR 압축으로 탐지 우회

이번 캠페인에서 사용된 공격 기술은 매우 정교하다. 공격자는 PowerShell 명령을 hex 인코딩과 XOR 압축으로 처리하여 보안 솔루션의 탐지를 우회한다. 암호화된 명령은 Terminal에서 디코딩되면서 실제 악성 행동을 수행한다. 이러한 난독화 기법은 전통적인 시그니처 기반 보안 솔루션으로는 감지하기 어렵다.

공격 페이지는 ZIP 파일 형태의 악성 코드를 다운로드한다. 이 ZIP 파일에는 7-Zip 바이너리가 포함되어 있으며, 추가 페이로드 해체를 위해 사용된다. 특히 주목할 점은 공격자가 Windows 작업 스케줄러를 통해 지속성(persistence)을 확보한다는 것이다. 시스템이 재부팅되어도 악성 코드가 자동으로 실행되도록 설정하여, 한번 감염되면 지속적인 공격이 가능해진다.

더 심각한 것은 Microsoft Defender에 예외를 등록하여 보안 솔루션을 무력화시킨다. 공격자는 Defender의 실시간 보호 기능을 끄지 않고도 특정 파일과 폴더를 예외 처리하여 탐지를 우회한다. 이는 일반 사용자가 평소처럼 보안 프로그램을 신뢰하고 있는 상황에서 발생할 수 있어 매우 위험하다.

Lumma Stealer의 자격증명 탈취 기법

최종 페이로드로 배포되는 Lumma Stealer(또한 LummaC2 Stealer로 알려짐)는 전문적인 정보 탈취 맬웨어이다. 이 맬웨어는 브라우저 프로세스에 QueueUserAPC() 함수를 사용하여 코드를 주입한다. QueueUserAPC()는 비동기 프로시저 호출을 수행하는 Windows API로, 정상적인 브라우저 프로세스 내에서 악성 코드가 실행되는 것처럼 위장할 수 있다.

Luma Stealer의 주요 표적으로는 Chrome, Edge, Firefox 등 주요 웹 브라우저에 저장된 자격증명이다. 또한 브라우저 쿠키, 자동 완성 데이터, 저장된 비밀번호도 탈취 대상이다. 공격자는 탈취한 정보를 다크 웹 마켓플레이스에서 판매하거나, 추가 공격에 활용할 수 있다. 이러한 자격증명 유출은 금융 거래, 기업 시스템 접근, 개인 계정 해킹 등 다양한 2차 피해로 이어질 수 있다.

특히 우려되는 것은 이 캠페인이 대상으로 삼는 피해자의 범위가 넓다는 점이다. 개인 사용자뿐만 아니라, 기업 직원들도 일상 업무 중 비슷한 방식으로 공격에 노출될 수 있다. 기업 환경에서는 한 명의 직원 감염만으로도 전체 네트워크로 확대될 수 있는 잠재적 위험이 존재한다.