최근 네이버 지식iN 에 문의올라온 질문 중에 악성코드 관련 질문중에
mshta 를 통한 악성코드 Payload가 있는 형태를 발견했다.
사용자들의 PC에 특정한 페이지 URL 주소가 지속적으로 팝업 형태로 뜨는 악성코드 형태로 확인이 되고 있다.
알려진 이름은 CountLoader 혹은 Lumma Stealer 로, ClickFix 계열로 악성코드 유포를 진행하는 것으로 알려져 있다.
감염 경로
사용자는 대개 불법SW(크랙)를 다운로드 받으려고 했던 경우로 확인된다.
증상

악성코드에 감염된 PC는 일정 시간마다 PC에서 불특정 다수의 페이지가 열리며 사용자를 방해하고 있다.
이는 mshta.exe로, 파일 자체는 Windows 에 있는 정상SW 지만 악의적인 행위를 수행하도록 페이지를 유도할 수 도 있다.
겉으로는 사용자의 컴퓨터 사용을 방해하는 것으로 보이지만
내부적으로는 악의적인 행동을 수행한다.
- 웹 브라우저 정보 (Google Chrome / Microsoft Edge 등 주요 브라우저에 저장된 자동 로그인 정보, 쿠키, 자동완성 데이터 등)
- 암호화폐 지갑
- 인증 및 원격 도구 정보
- Outlook, thunderbird 등 이메일 클라이언트, 텔레그램 정보, 일부 문서파일
사용자들은 다음과 같은 URL의 사이트가 열릴 수 있다.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 | https://fileless-market.cc/ https://police-center.vg/ https://indeanapolice.cc/ https://s{i}-microservice-updatehub.cc/ https://firefox.vg/ https://explorer.vg/ https://some-othertag.cc/ https://holiday-forever.cc/ https://alpha-centavr.cc/ https://urugvai.cc/ https://azure-s3-bucket.cc/ https://files-storage.cc/ https://airdefence.gl/ https://parent-control.cc/ https://s3-microservice-updatehub.cc/ https://network-defender.cc/ https://vless-proto.cc/ https://deluxe.gl/ https://webdrive-select.vg/ https://github-repository.gl/ https://immortal-service.cc/ https://captcha-verification.cc/ https://webdriver-terminal.vg/ https://venom-flagman.cc/ https://ug-network.com/ https://command-center.cc/ https://offshore-storage.cc/ https://fileshare.vg/ https://flwoagent.com/ https://saqo.qen7tavil.in.net/ https://nvoaagent.com/ https://vastbets.com/ https://mrakagent.com/ https://vera.qen7tavil.in.net/ https://next.qen7tavil.in.net/ https://dynflux6al.xel5navin.in.net/ https://hosting-control.cc/ https://c-pdf1.ddns.net/ https://dwkch.ru/ https://ccleaner.gl/ https://system-monitor.cc/ https://ros-tele.com/ https://rostov-uga.com/ |

사용자의 PC에는 작업 스케줄러로 특정 페이지가 일정시간마다 열리도록 작업 스케줄러에 정보가 등록이 된다.
감염 동작 매커니즘
ClickFix
사용자는 ClickFix 로 사용자가 가짜 에러 페이지, 가짜 다운로드 페이지등에 접속하게 된다.
이후 특정 명령어 붙여넣기가 동작이 되면 악성코드가 페이로드 된다.
CountLoader

사용자가 아무런 의심없이 악성코드 명령어를 실행(run as)하게 되면 악성코드는 침투를 위해
위에 적혀있는 URL 들인 C2 서버에 접근하게 되며
이곳에서 정보 탈취를 위한 Lumma Stealer 악성코드가 다운로드 받게 된다.
Lumma Stealer
최종적으로 악성코드 Payload 가 완료된 PC는 Lumma Stealer 악성코드로 인해
비밀번호, 쿠키, 가상화폐 지갑을 탈취하게 되는 악성행위를 수행하게 된다.
예방법
불법 SW 다운로드 하지 않기

대부분의 정보 탈취형 감염 경로가 불법SW 다운로드를 통해 발생한 사례가 많았기에 정품 Software 를 구매하는것이 무엇보다 중요하다.
가짜 사이트는 Captcha 를 요구하거나, 페이지가 정상적으로 동작하지 않는다며
사용자에게 어떠한 행동을 요구한다.
대개 Windows + R키를 누른 후 Ctrl + V(붙여넣기) 기능을 하라고 유도를 하는데
이는 악성코드를 사용자가 직접적으로 실행하게 만드는 ClickFix 악성코드 이므로 절대로 수행하지 않는다.
조치법
백신 SW 검사
우선 백신SW를 통해 악성코드를 근본적으로 조치할 수 있다.
백신 SW는 직접적인 악성코드를 제거하지만, 위에 발생하는 사이트 열림 문제는 해결해주지 않는다.
Malware Zero 로 추가 검사
사이트 열림 문제는 Malware Zero (https://malzero.xyz)를 통해 악성코드를 검사하여 조치할 수 있다.
혹은 사용자가 어느정도 컴퓨터에 능숙하다면 직접 작업 스케줄러를 통해 비정상적인 작업 스케줄러를 제거하면 된다.
참고 사이트
Microsoft’s MSHTA Legacy Tool Still Powers Malware Campaigns on Windows (bitdefender.com)
![You are currently viewing [Malware] 특정 사이트를 띄워 사용자를 방해하는 악성코드 주의](https://i0.wp.com/blog.supersu.kr/wp-content/uploads/2026/07/Gemini_Generated_Image_jnlm33jnlm33jnlm.png?fit=1408%2C768&ssl=1)