핵심 요약
- ClickFix 사회공학 기법으로 BabaDeda Loader, Lorem Ipsum Loader, Potemkin 3종의 로더가 2026년 상반기에 확인됨
- BabaDeda Loader는 2026년 4월 최초 관측 이후 교육 및 금융 부문을 표적으로 삼고 있음
- Lorem Ipsum Loader는 침해된 WordPress 사이트를 C2 인프라로 악용하며 Vice Society 연계 가능성이 제기됨
신종 로더 3종은 정상 도구로 위장한 클릭 유도 단계부터 메모리 기반 실행까지 다단 구조를 형성하므로, 한국 조직은 CMS 점검과 사용자 인식 교육을 함께 강화할 필요가 있다.
2026년 상반기 들어 ClickFix 사회공학 캠페인이 새로운 로더 3종을 동원하며 공격 면적을 빠르게 넓히고 있다. Morphisec, BlueVoyant, Huntress의 독립 보고서에 따르면 BabaDeda Loader, Lorem Ipsum Loader, Potemkin이 잇따라 등장했고 일부 표적이 교육 및 금융 부문으로 이동하면서 한국 조직도 점검 대상에 포함될 필요가 커졌다.
ClickFix 캠페인의 작동 원리와 최신 변형
사회공학 클릭 유도 기법의 핵심 단계
ClickFix는 “문제가 발생했습니다”와 같은 가짜 안내문을 띄우고 사용자가 직접 복사한 명령을 실행하게 만드는 사회공학 절차다. 공격 흐름은 크게 ①정상 페이지로 위장한 랜딩 ②가짜 CAPTCHA 또는 에러 메시지 표시 ③사용자가 직접 PowerShell 등 명령을 붙여넣기 ④메모리 내 로더 실행 ⑤추가 페이로드 배포의 다섯 단계로 나뉘며, 이 가운데 ③단계에서 사용자 행위가 트리거가 된다는 점이 전통적인 악성 첨부 우회 방식과 차이난다.
가짜 업데이트 화면(fake update lure) 구성 요소
최근 변형은 브라우저 업데이트, PDF 뷰어 패치, 회의 클라이언트 알림 등 친숙한 UI를 차용한다. 화면에는 진행률 표시줄과 “업데이트 적용 중” 문구가 들어가며, 사용자가 안내에 따라 명령 복사 버튼을 누르면 클립보드에 악성 코드가 채워진다. BlueVoyant 보고서는 이 fake update lure가 정상 도메인에서 호스팅되거나 CDN 자원으로 위장되는 경우가 많다고 분석했다.
신종 로더 3종 상세 분석
BabaDeda Loader – 2026년 4월 최초 관측, 교육·금융 표적
Morphisec의 분석에 따르면 BabaDeda Loader는 2026년 4월 최초로 관측되었으며, 초기 침해 사례가 교육 및 금융 조직에서 집중 발생했다. 로더 자체는 PowerShell 또는 .NET 기반의 스테이저로 동작하며, 메모리에서 페이로드를 디코딩해 실행하는 파일리스 특성을 보인다. 표적 조직의 도메인 정보와 부서명을 사전에 수집해 안내문을 맞춤화한 점이 특징으로 분석된다.
Lorem Ipsum Loader – 침해 WordPress C2, Vice Society 연계 가능성
Dark Reading의 보도와 Huntress의 트래픽 분석을 종합하면 Lorem Ipsum Loader는 C2 통신 채널로 침해된 WordPress 사이트를 활용한다. 공격자는 정상적인 콘텐츠 사이에 난독화된 설정 블록을 삽입하고, 로더가 폴링 방식으로 명령을 받아 다음 단계를 다운로드한다. 보고서에서는 동일한 인프라 패턴이 랜섬웨어 및 데이터 extortion 그룹인 Vice Society의 과거 캠페인과 겹친다고 언급했으며, 연계 가능성 수준으로 표현해 추측은 배제하고 있다.
Potemkin Loader – Huntress 보고서 기반 동향
Huntress는 Potemkin Loader에 대해 ClickFix의 fake update lure와 결합된 사례를 보고했다. Potemkin은 짧은 스크립트 형태의 스테이저로 시작해 본 페이로드를 레지스트리 또는 WMI 이벤트 구독에 저장하는 경향을 보이며, 디스크 기반 아티팩트를 최소화해 전통적 안티바이러스 탐지를 회피한다. 아직 표적 업종 통계는 공개되지 않았지만 다중 캠페인에서 재사용되는 도구로 분석된다.
교차 검증 가능한 위협 인텔리전스 소스
Morphisec, BlueVoyant, Huntress의 독립 보고서 비교
신종 로더 3종에 대한 시점은 세 보고서에서 다음과 같이 교차 확인된다.
- Morphisec: BabaDeda Loader 2026년 4월 최초 관측 및 교육·금융 표적
- BlueVoyant: ClickFix fake update lure의 CDN 위장 사례 및 ClickFix 전반 추세
- Huntress: Potemkin Loader의 WMI 지속성 및 Lorem Ipsum Loader의 WordPress C2 활용
세 기관의 관측이 서로 다른 IOC를 제공한다는 점에서 단일 벤더 의존 탐지의 한계가 다시 한번 드러난다.
한국 조직을 위한 탐지 및 대응 권고
취약한 CMS WordPress 점검 및 패치 절차
Lorem Ipsum Loader가 침해된 WordPress를 C2로 악용하는 만큼 한국 조직의 사내 블로그와 마케팅 사이트, 사내 지식관리 시스템의 WordPress 인스턴스를 우선 점검해야 한다. 점검 순서는 ①플러그인 및 테마 버전 확인 ②관리자 계정 비밀번호 및 2차 인증 적용 ③파일 무결성 모니터링 도구 설치 ④외부에서 들어오는 폴링 트래픽을 위한 WAF 룰 검토 ⑤불필요한 PHP 실행 권한 축소다. 핵심 플러그인 업데이트가 지연된 인스턴스는 임시 격리하는 것이 안전하다.
사용자 클릭 유도 패턴 인식 교육
ClickFix의 1차 침투 경로가 사용자 클릭이라는 점을 고려해, ①브라우저 내 명령 복사 후 실행 흐름 ②”지금 업데이트를 적용하세요” 류의 긴급 메시지 ③정상 도메인과 유사한 피싱 도메인 사례를 사내 교육에 포함해야 한다. 시뮬레이션 훈련에서는 사용자가 명령을 붙여넣기 전에 보안팀에 문의하도록 명시한 승인 절차를 강조한다.
메모리 내 실행 및 파일리스 지표 모니터링
BabaDeda와 Potemkin은 모두 메모리 기반 실행 흔적을 남기므로 EDR의 ①PowerShell ScriptBlock 로그 ②.NET 어셈블리 로드 이벤트 ③WMI 이벤트 구독 생성 이벤트를 집중 모니터링해야 한다. 파일리스 지표는 SIEM 상에서 호스트별로 baseline을 작성하고 비정상 프로세스 트리에서 발생한 자식 프로세스 생성을 알림으로 등록하는 방식이 효과적이다.
원문 출처는 The Hacker News – ClickFix Campaigns Expand Malware Delivery With New Loaders and Fake Update Lures와 Dark Reading – ‘Lorem Ipsum’ Malware Pivots to ClickFix Delivery에서 확인할 수 있다.
핵심 정리
- ClickFix는 사용자 행위에 의존하는 사회공학 절차이므로 기술 통제와 사용자 교육을 함께 강화해야 한다.
- BabaDeda Loader는 2026년 4월 최초 관측 이후 교육·금융 부문에서 발견되었고, 한국도 동일한 업종 표적 가능성이 존재한다.
- Lorem Ipsum Loader는 침해 WordPress를 C2로 활용하므로 사내 CMS 점검과 WAF 룰 보강이 즉시 필요하다.
- Potemkin Loader를 포함한 파일리스 로더는 메모리 실행과 WMI 지속성 지표를 통해 탐지하는 편이 효과적이다.
- Morphisec, BlueVoyant, Huntress의 보고서를 교차로 확인해 IOC를 통합하고 단일 벤더 의존을 줄여야 한다.