최근 사용자가 봇인지 아닌지를 판단하기 위한 절차인 캡처 인증 페이지를 조작하여 악성코드 실행을 유도하는 공격이 발견되고 있다.
이 공격은 사용자를 조작된 캡처 인증 페이지로 유도하는 것으로 시작한다. 사용자가 불법적으로 공유된 버전의 프로그램을 다운로드 하기 위해 검색한 링크를 통해 해당 캡처 인증 페이지로 리디렉션 되거나 피싱 메일에 링크를 삽입하여 접속을 유도한다.
접속된 페이지에서 사용자가 인증을 위해 "I'm not a robot" 버튼을 클릭하면 일반적인 인증 성공 여부 메시지가 아닌 'Verification Steps'라는 안내 메시지가 팝업된다. 이와 동시에 페이지 내부에 삽입된 Base64로 인코딩 된 악성 파워쉘 명령어가 클립보드로 복사된다.
팝업 된 메시지는 사용자에게 클립보드에 복사된 악성 파워쉘 명령어를 붙여 넣어 실행하도록 steps을 알려준다.
안내 메시지대로 'Verification Steps'를 실행할 경우 악성 파워쉘 명령어가 실행되며, 파워쉘 명령어를 통해 공격자의 서버에서 악성코드를 다운로드 받아 실행하게 된다.
이 케이스에서 최종적으로 실행되는 악성코드는 Lumma Stealer로 확인되며, Lumma Stealer는 감염된 컴퓨터에서 암호화폐 지갑, 웹브라우저 및 시스템정보, 사용자 계정정보 등과 같은 민감한 정보를 탈취하는 정보 탈취형 악성코드이다.
파워쉘(PowerShell)
파워쉘이란 명령어 쉘, 스크립팅 언어 및 구성 관리 프레임워크로 구성된 플랫폼 간 작업 자동화 솔루션이다.
기능은 명령 프롬프트(cmd)오 같으나 COM과 WMI에 대한 완전한 접근이 가능하여 거의 모든 작업을 막힘없이 할 수 있으며 웹 서비스 관리와 CIM으로 원격지의 리눅스와 네트워크 장비를 만질 수도 있다.
'swuforce' 카테고리의 다른 글
| [webhacking]old-54 문제풀이 (0) | 2024.11.04 |
|---|---|
| [써니타스]14번 문제풀이 (2) | 2024.11.04 |
| [SuNiNaTaS] 1번 문제풀이 (1) | 2024.10.09 |
| [IGLOO] ‘록빗(LockBit)’ 그룹 검거로 알아보는 랜섬웨어 생태계 (10) | 2024.10.03 |
| [디지털 포렌식 개론] 5장 디지털 포렌식 수행 절차 (7) | 2024.10.02 |