가짜 CAPTCHA는 사용자에게 검증 텍스트로 위장한 악성코드를 실행하도록 강요합니다.

기만적인 CAPTCHA 페이지, Windows Run 익스플로잇을 이용해 은밀한 악성코드 배포

뉴저지의 사이버 보안 분석가들은 이번 주에 정부 직원들을 대상으로 한 사기성 CAPTCHA 도전을 통해 경각심을 불러일으킬 만한 악성 코드 계획을 경고했습니다. 뉴저지 사이버 보안 및 통신 통합 셀(NJCCIC)은 3월 20일에 공격자들이 주 직원들에게 보안 점검으로 위장한 사기성 또는 손상된 웹사이트의 링크가 포함된 이메일을 보냈다고 밝혔습니다. NJCCIC에 따르면:

이 이메일에는 대상자를 악성 또는 손상된 웹사이트로 안내하고 기만적인 CAPTCHA 인증 도전을 요구하는 링크가 포함되어 있습니다.

이러한 도전 과제는 사용자를 속여 SectopRAT 정보 탈취 프로그램을 비밀리에 설치하도록 유도하기 위해 설계되었습니다.

이 방법은 특히 정교하여, 의도를 숨기기 위해 클립보드 기반 트릭을 사용했습니다. 링크를 클릭한 피해자는 자동으로 명령을 복사하는 가짜 CAPTCHA 페이지로 안내되었습니다. 그런 다음 웹사이트는 사용자에게 가상의 인증 단계의 일환으로 Windows Run 대화 상자에 명령을 붙여넣도록 지시했습니다. 마지막으로 붙여넣은 텍스트는 일반 메시지처럼 보였지만 실제로 명령을 실행하면 mshta.exe가 실행되었습니다. 이는 일반적인 파일 형식으로 위장된 악성 코드를 가져와 실행하는 Microsoft Windows의 정품 실행 파일입니다.

NJCCIC는 널리 채택된 도구를 사용한 손상된 사이트로 캠페인을 추적했습니다: “추가 분석 결과, 식별된 손상된 웹사이트는 WordPress 콘텐츠 관리 시스템(CMS) 플랫폼 및 JavaScript 라이브러리와 같은 기술을 사용했습니다.”

조사는 또한 타협된 비디오 서비스를 통해 자동차 대리점 웹사이트를 대상으로 하는 공급망 구성 요소를 밝혀냈습니다. 감염된 방문자는 같은 정보 탈취 프로그램을 다운로드할 위험이 있었습니다. 한편, 사이버 보안 연구원들은 다른 종류의 악성 코드를 배포하는 관련 작업을 문서화했습니다:

연구원들은 Lumma와 Vidar 정보 탈취 프로그램과 은밀한 루트킷을 배포하는 유사한 가짜 CAPTCHA 악성 코드 캠페인도 발견했습니다. 합법적인 CAPTCHA 인증 도전은 사용자의 신원을 확인하며, 사용자가 Windows Run 대화 상자에 명령이나 출력을 복사하여 붙여넣도록 요구하지 않습니다.

관계자들은 시스템 관리자가 소프트웨어를 업데이트하고 CMS 자격 증명을 강화하며 FBI 인터넷 범죄 불만 센터와 NJCCIC에 사건을 보고하도록 권고했습니다.