오늘은 부킹닷컴으로 위장하는 클릭픽스 공격 사이트의 작동 원리와 피해 경로를 정리한다. 유포 사이트는 propertypanelreservations(.)com으로 확인되며 접속 시 윈도우+R 실행을 유도하고 복사 붙여 넣기를 강요하는 방식으로 악성코드 실행을 시작한다. 실행 파일은 msIeXec.ExE로 보이며 패키지 형태를 가장해 대소문자 혼용으로 탐지 우회를 시도하는 특징이 있다. 또한 -PᵃcKᵃGE 옵션과 함께 /package로 가장한 형태가 나타나며, 유니코드 문자로 구성된 URL이 노출될 수 있다. 이 과정에서 AltPayload에 포함된 폴더로 client32.ini 와 client32u.ini 같은 구성 파일이 확보된다.
부킹닷컴 클릭픽스의 구체적 동작은 먼저 클라이언트 측에서 서버 접속을 시도하고 접속 실패 시 보조 서버로의 연결을 시도하는 흐름으로 설명된다. 피해 자가 연결된 상태로 남아 있으면 원격 제어가 가능해지며, 설정에 따라 키보드와 마우스 제어, 파일 전송, 추가 명령 실행 등이 가능해진다. 원격 관리 도구로 NetSupport Manager Client나 NetSupport RAT가 의심 도구로 확인되며, 설정 파일의 경로는 C:\Users\Administrator\Desktop\client\client32u.ini 등으로 지목된다. 주요 접속 서버는 img-pulse-cache(.)com:443이며 보조 서버는 booking-static-assets(.)com:443, 통신 포트는 443로 통일되어 있다.
공격 체계의 핵심은 사용자 몰래 실행되도록 설계된 은밀성이다. silent=1, SysTray=0, ShowUIOnConnect=0, BeepUsingSpeaker=0 등의 설정으로 화면 표시 및 경고음이 차단되고, DisableChatMenu, DisableDisconnect, DisableClientConnect, DisableRequestHelp 등의 옵션으로 사용자의 상호작용을 최소화한다. 이로 인해 사용자는 연결 상태를 명확히 인지하기 어렵고 도움 요청이나 해제 시도도 차단되는 특징이 나타난다. 전체 흐름은 악성코드가 먼저 백그라운드에서 작동한 뒤 서버로의 원격 접속으로 이어지고, 필요 시 추가 명령 실행까지 가능하게 만들어 피해 범위를 넓힌다. 부킹닷컴은 의심스러운 접속 및 원격 제어 위험에 지속적으로 주의가 필요하다는 점이 강조된다.
