캡차 인증 페이지 조작해 악성코드 실행 유도 공격 ‘주의’
캡차 인증 페이지 조작해 악성코드 실행 유도 공격 ‘주의’
최근 봇(bot)인지, 사람인지 판단하는 절차인 캡차 인증 페이지를 조작해 악성코드 실행을 유도하는 공격이 발견되고 있어 이용자의 주의가 필요하다. 이스트시큐리티 시큐리티대응센터(이하 ESR
www.boannews.com
- 공격 개요
- 캡차 인증 페이지를 조작하여 악성코드를 실행하도록 유도하는 새로운 공격 방식이 발견됨
- 사용자가 캡차 인증 과정에서 조작된 페이지에 접속하게 하여 악성 명령어 실행을 유도
- 공격 방식
- 캡차 인증 페이지로 리디렉션하거나 피싱 메일 링크로 접속을 유도함
- 사용자가 'I’m not a robot' 버튼을 클릭하면 ‘Verification Steps’ 안내 메시지가 팝업됨
- 악성 파워쉘(PowerShell) 명령어가 클립보드로 복사되며, 사용자는 이를 실행하도록 유도됨
- 악성코드 실행 과정
- 사용자는 윈도우키+R을 눌러 실행 창을 열고 Ctrl+V로 복사된 명령어를 붙여넣어 실행함
- 파워쉘 명령어가 실행되면 공격자의 서버에서 악성코드가 다운로드되고 실행됨
- 최종적으로 실행되는 악성코드는 Lumma Stealer로, 암호화폐 지갑, 웹브라우저 정보, 시스템 정보 등의 민감한 정보를 탈취함
- 보안 취약점 및 경고
- 캡차 인증 페이지를 신뢰하는 사용자들이 쉽게 속을 수 있음
- 국내에서는 아직 발견되지 않았으나, 유사 공격이 발생할 가능성이 높아 지속적인 모니터링이 필요함
- 사용자에게 직접 악성 명령어를 실행하도록 유도하는 기법이 새로운 위협으로 등장함
- 정보보호 권고 사항
- 캡차 인증 페이지를 통해 제공되는 명령어 실행에 주의
- 피싱 메일이나 의심스러운 링크를 통해 제공된 캡차 페이지에 접속하지 않도록 경계
- 보안 소프트웨어를 최신 상태로 유지하고 지속적인 모니터링과 대응 체계를 마련
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 오이스터 백도어 공격: MS 팀즈 설치 파일로 위장한 해킹 기법 (1) | 2024.10.02 |
|---|---|
| 롬콤의 새로운 변종 스닙봇: 광범위한 정보 탈취 공격 (2) | 2024.10.02 |
| TFH 데미안 키어런 CPO "개보위 과징금 처분 존중...소통 지속할 것" (0) | 2024.10.02 |
| 개인정보 도용 대출, 본인확인 미흡 시 대출 효력 불인정 판결 (3) | 2024.10.02 |
| 마이크로소프트의 윈도 리콜 보안 아키텍처 업그레이드 (1) | 2024.10.02 |