Threat Actors Exploit Fake CAPTCHAs and Cloudflare Turnstile to Distribute LegionLoader
Threat Actors Exploit Fake CAPTCHAs and Cloudflare Turnstile to Distribute LegionLoader
In a sophisticated attack targeting individuals searching for PDF documents online, cybercriminals are using deceptive CAPTCHA mechanisms.
gbhackers.com
- 공격 개요
- PDF 문서 검색자를 표적으로 하는 정교한 피싱 캠페인이 발견됨
- 공격자는 가짜 CAPTCHA와 Cloudflare Turnstile을 연계해 사용자의 신뢰를 얻고 악성 파일을 설치 유도
- 2025년 2월부터 시작된 본 공격은 북미, 아시아, 남유럽 지역의 기술 및 금융 산업을 주요 타깃으로 삼음
- 감염 유도 방식
- 사용자가 특정 PDF 문서를 찾기 위해 검색 중, 악성 웹사이트로 유입됨
- 페이지에는 가짜 CAPTCHA가 표시되고, 이어서 Cloudflare Turnstile CAPTCHA가 표시됨
- CAPTCHA 클릭 이후 브라우저 알림 권한을 요청, 허용 시 악성 MSI 파일 다운로드 유도
- 사용자는 이를 정상적인 PDF 뷰어 설치 파일로 오인하고 실행함
- 악성코드 기술적 동작
- 공격자는 VMware 서명 애플리케이션(Kilo Verfair Tools)를 이용해 DLL 사이드로딩 수행
- 악성 DLL은 OpenSSL로 위장되어 있으며, 내부에 셸코드(shellcode)와 LegionLoader 페이로드 포함
- 디코딩 및 난독화 해제를 통해 API Hammering 회피 기법 사용
- 이후 Process Hollowing 기법으로 explorer.exe에 페이로드 삽입
- 악성 브라우저 확장 프로그램
- 페이로드 실행 후, PowerShell 스크립트를 통해 2차 페이로드 다운로드
- 암호화된 페이로드(AES) 해제 후 브라우저 확장 프로그램 설치
- 확장 프로그램은 “Save to Google Drive”로 위장
- 지원 브라우저: Chrome, Edge, Opera
- 수집 정보
- 클립보드 정보
- 브라우징 히스토리
- 인증 쿠키 및 세션 데이터
- 보안 권고
- 정상 서명 애플리케이션을 악용하는 DLL 사이드로딩 기법은 EDR 우회 및 탐지 회피 가능성 높음
- Cloudflare Turnstile 등 신뢰된 플랫폼을 악용한 공격은 사회공학 기법의 정교화를 시사
- 사용자 교육을 통해 CAPTCHA 후속 동작 시 유의점 안내 필요
- MSI 파일 실행 전 확인 및 관리 정책 수립, 브라우저 확장 설치 제한 및 검토 필요
- 브라우저 내 민감 정보 접근을 차단하는 정책 기반 보안 통제(예: DLP, 브라우저 보안 설정 강화) 필요
- 결론
- LegionLoader 유포 캠페인은 사회공학 기법 + 정교한 기술적 우회가 결합된 사례로, 최신 위협 트렌드의 진화를 보여줌
- 문서 검색 행위를 표적으로 한 피싱 공격, 정상 웹 인터페이스를 악용한 유포 전략은 향후 반복 가능성이 높음
- EDR, 브라우저 보안, 사용자 인식 제고, 악성 코드 유입 차단을 위한 다계층 보안 모델 구축 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 챗GPT 이미지 생성 기능을 악용한 여권 위조 사례와 금융 인증 위협 분석 (1) | 2025.05.25 |
|---|---|
| 카카오페이 개인정보 국외 이전 논란 및 규제 대응 분석 (1) | 2025.05.25 |
| 2025년 4월 첫째 주 주요 사이버 보안 위협 정리 (0) | 2025.05.24 |
| PCI DSS 4.0.1: 산업 주도형 사이버 보안 표준의 진화 (0) | 2025.05.24 |
| 2025년 최고 XDR(확장 탐지 및 대응) 솔루션 TOP 10 정리 (0) | 2025.05.24 |