Beware: Fake CAPTCHA Campaign Spreads Lumma Stealer in Multi-Industry Attacks
- 개요
- 가짜 CAPTCHA 검증 페이지를 이용한 정보 탈취형 멀웨어(Lumma Stealer) 유포 캠페인이 글로벌 공격으로 확산
- 의료, 금융, 마케팅 및 통신 산업을 포함한 다양한 업종에서 피해 발생
- Netskope Threat Labs에 따르면 아르헨티나, 콜롬비아, 미국, 필리핀 등 전 세계적인 피해 사례 확인
- 공격 기법
- 피해자가 악성 웹사이트에 접속하면 가짜 CAPTCHA 페이지로 리디렉션
- 피해자는 특정 명령어를 Windows '실행' 창에 복사-붙여넣기 하도록 유도
- mshta.exe 바이너리를 사용하여 원격 서버에서 악성 HTA 파일을 다운로드 및 실행
- 이전 버전의 공격(CickFix 기법)
- Base64 인코딩된 PowerShell 스크립트 실행을 통해 Lumma Stealer 감염 유도
- 현재 공격 방식
- HTA 파일 실행 후, PowerShell 명령어를 통해 다음 단계 페이로드 실행
- Windows AMSI(안티 멀웨어 스캔 인터페이스) 우회 시도
- 피해자가 직접 명령어 실행을 수행하도록 유도해 브라우저 기반 보안 기능 회피
- 멀웨어 확산 방식
- Lumma Stealer는 멀웨어 서비스형(MaaS, Malware-as-a-Service) 모델로 운영되며 최근 몇 달간 활동 증가
- 다양한 배포 방법을 사용하여 탐지 및 차단을 어렵게 함
- 최근 사례
- 약 1,000개 이상의 위장 도메인(Reddit, WeTransfer 사칭)에서 비밀번호 보호된 아카이브 파일 제공
- AutoIT 기반 드로퍼(SelfAU3 Dropper)를 활용하여 Lumma Stealer 실행
- 2023년 초, 1,300개 이상의 AnyDesk 위장 도메인에서 Vidar Stealer 배포 사례와 유사한 공격 기법
- 관련 공격 도구 및 기술
- Tycoon 2FA(Phishing-as-a-Service, PhaaS) 툴킷 업데이트
- 보안 솔루션 우회 기능 강화
- 합법적인(또는 탈취된) 이메일 계정을 활용하여 피싱 이메일 전송
- 웹 페이지 보안 검사 차단 기법 적용
- 자동 보안 스크립트 감지 및 우회
- 키 입력 감지로 분석 환경 탐지
- 마우스 우클릭 차단을 통한 분석 방해
- Gravatar(프로필 이미지 서비스) 악용
- AT&T, Comcast, Proton Mail 등 합법적인 서비스로 위장한 가짜 프로필 생성
- 사용자가 계정 정보를 입력하도록 유도하여 자격 증명 탈취
- Tycoon 2FA(Phishing-as-a-Service, PhaaS) 툴킷 업데이트
- 보안 권고
- 가짜 CAPTCHA 페이지에서 명령어 입력을 요구하는 경우 절대 실행 금지
- mshta.exe 및 PowerShell 실행 제한을 통한 악성 HTA 파일 다운로드 차단
- 웹 브라우저 보안 기능 및 확장 프로그램 활성화(광고 차단기, 스크립트 차단기 사용 권장)
- 이메일 및 웹사이트의 URL 확인하여 위장된 도메인 방문 방지
- 정기적인 보안 패치 및 안티바이러스 소프트웨어 업데이트 유지
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Nnice 랜섬웨어: 고급 암호화 기법을 이용한 Windows 시스템 공격 (0) | 2025.01.31 |
|---|---|
| Morpheus 및 HellCat 랜섬웨어 코드 공유 분석 (0) | 2025.01.31 |
| 안드로이드, 'Identity Check' 및 도난 방지 기능 강화 (1) | 2025.01.31 |
| 인공지능(AI)과 프라이버시 리스크 관리 방안 (1) | 2025.01.31 |
| 바이든 행정부의 마지막 보안 행정명령 분석 (0) | 2025.01.31 |