캡차 인증 페이지 조작해 악성코드 실행 유도 공격 발견...이용자 주의
캡차 인증 페이지로 리디렉션 되거나 피싱 메일에 링크 삽입해 접속 유도
최종 Lumma Stealer 악성코드로 암호화폐 지갑, 웹브라우저, 시스템 정보 등 정보 탈취

[보안뉴스 김경애 기자] 최근 봇(bot)인지, 사람인지 판단하는 절차인 캡차 인증 페이지를 조작해 악성코드 실행 유도 공격이 발견되고 있어 이용자의 주의가 필요하다.


▲가짜 캡차 인증 페이지 화면[이미지=이스트시큐리티]

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 “이번 공격은 사용자를 조작된 캡차 인증 페이지로 유도하는 것으로 시작된다”며 “사용자가 불법적으로 공유된 버전의 게임을 다운로드 하기 위해 검색한 링크를 통해 해당 캡차 인증 페이지로 리디렉션 되거나 피싱 메일에 링크를 삽입해 접속을 유도한다”고 밝혔다.


▲인증버튼 클릭 시 팝업 된 안내 메세지 화면[이미지=이스트시큐리티]
 
접속된 캡차 인증 페이지에서 사용자가 인증을 위해 ‘I’m not a robot’ 버튼을 클릭하면 ‘Verification Steps’라는 안내 메시지가 팝업된다. 또한 페이지 내부에 삽입된 악성 파워쉘 명령어가 클립보드로 복사된다.


▲악성 파워쉘 명령어를 클립보드로 복사하는 스크립트[이미지=이스트시큐리티]

팝업된 메시지에서는 사용자에게 ‘윈도우키+R’ 키를 눌러 윈도우 ‘실행’ 창을 오픈한 뒤 Ctrl+V 단축키로 클립보드에 복사된 악성 파워쉘 명령어를 붙여 넣어 실행하도록 유도한다.

사용자가 Verification Steps을 진행할 경우 악성 파워쉘 명령어가 실행되며, 파워쉘 명령어를 통해 공격자의 서버에서 악성코드를 다운로드 받아 실행하게 된다.
 

▲악성 파워쉘 명령어가 입력된 화면[이미지=이스트시큐리티]

최종적으로 실행되는 악성코드는 Lumma Stealer로 확인됐다. Lumma Stealer는 감염된 컴퓨터에서 암호화폐 지갑, 웹브라우저 및 시스템정보, 사용자 계정정보 등과 같은 민감한 정보를 탈취하는 정보 탈취형 악성코드다.
  
이스트시큐리티 ESRC 측은 “사용자에게 직접 악성 명령어를 실행하도록 유도하는 공격 기법이 익숙하고 신뢰하기 쉬운 캡차 인증 페이지를 악용한 새로운 형태로 발견되고 있어 주의가 필요하다”며 “아직까지 국내에서 발견된 사례는 확인되지 않았으나, 추후 유사한 형태로 발견될 가능성이 높아 지속적인 모니터링이 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>