Beware! Fake CAPTCHA Hidden LummaStealer Threat Installing Silently
Beware! Fake CAPTCHA Hidden LummaStealer Threat Installing Silently
Cybersecurity researchers at G DATA have uncovered a sophisticated malware campaign utilizing fake booking websites.
gbhackers.com
- 개요
- 보안 연구팀 G DATA는 가짜 CAPTCHA 인증 화면을 활용해 LummaStealer 악성코드를 배포하는 정교한 캠페인을 식별
- 해당 캠페인은 2025년 1월부터 발견되었으며, 기존 GitHub·Telegram 기반 유포에서 광고 기반 공격(malvertising)으로 전환
- 가짜 예약 사이트를 통해 사용자에게 Windows 실행 명령어 실행을 유도, 시스템에 몰래 악성코드를 설치
- 공격 체인 분석
- 사용자는 이메일 또는 광고를 통해 결제 확인을 위장한 악성 URL에 접속
- 이후 가짜 예약 일정 페이지로 리디렉션, CAPTCHA 인증을 요구하는 페이지에 도달
- CAPTCHA처럼 보이지만, 실제로는 사용자가 실행창(Windows Run)에 명령을 입력하도록 유도, PowerShell 스크립트를 통한 악성코드 실행
- 감염 절차
- ROT13으로 암호화된 PHP 스크립트가 실행
- Base64로 인코딩된 PowerShell 명령이 클립보드에 삽입
- 사용자가 붙여넣기 및 실행 시, LummaStealer 다운로드 및 실행
- 회피 기법 및 악성코드 특징
- 바이너리 패딩(binary padding) 기술 사용: 악성코드 파일 크기를 최대 350% 증가
- 이는 백신 엔진의 파일 크기 기반 탐지 우회 목적
- 서명 기반 탐지 회피 및 정적 분석 지연 효과 발생
- 간접 흐름 제어(Indirect Control Flow) 및 디스패처 블록(Dispatcher Blocks) 사용
- 런타임 시 동적으로 주소 계산, 분석자 추적 방해
- 리버스 엔지니어링 방해 및 동적 분석 어려움 유도
- 바이너리 패딩(binary padding) 기술 사용: 악성코드 파일 크기를 최대 350% 증가
- 피해 범위 및 확산 경로
- 필리핀, 독일 등 다수 국가 대상
- 지역별 공격 시점이 다르게 나타나며, 공격자들의 전략적 대상 확장 의도로 해석됨
- 공격자는 ClickFix와 같은 신흥 소셜 엔지니어링 기법도 활용 중
- 결론
- CAPTCHA를 사칭한 악성코드 유포는 사용자 신뢰를 악용하는 고도화된 사회공학적 공격
- 사용자에게 Windows 시스템 명령 실행을 유도하는 행위는 정상적 웹사이트에서는 절대 발생하지 않음
- 보안 업데이트 유지, 신뢰되지 않은 예약 사이트 회피, 파일 열람 전 의심 행위 분석 등 보안 수칙 준수가 필수
- 클릭 한 번으로도 감염이 시작될 수 있어, 사용자 경각심 강화가 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 감사 결과 공개의 개인정보 침해 문제와 행정 투명성 개선 필요성 (0) | 2025.03.31 |
|---|---|
| 한국인 개인정보 4억건 다크웹 유출, 크리덴셜 스터핑 및 2차 피해 확산 우려 (0) | 2025.03.31 |
| 2025 AI 위협 환경 분석 보고서 요약 (0) | 2025.03.31 |
| Eleven11bot 봇넷, 86,000개 이상의 IoT 기기 감염 (0) | 2025.03.31 |
| 블랙 바스타(Black Basta) 랜섬웨어 그룹 내부 통신 유출 분석 (0) | 2025.03.31 |