가짜 캡차 사기: 해커들이 사용자들을 어떻게 말웨어를 다운로드하도록 속이는가

ClickFix Captcha는 무해한 검증 테스트로 나타나지만, 사이버범죄자들이 이 전략을 사용하여 의심하지 않는 사용자들에게 악성 소프트웨어를 전파합니다.

악성 소프트웨어 배포 방식은 랜섬웨어 배송 및 QakBot 은행 트로이 목마, 그리고 정보도둑들의 확산과 연관되어 왔습니다. 2008년 처음 발견된 이래로, 연구자들은 QakBot이 정교한 악성 소프트웨어로 발전했다고 말합니다.

DarkAtlas 연구팀의 보안 연구원들이 사용자들이 표준 캡차 작업을 하고 있다고 생각하게 만드는 새로운 공격을 발견했습니다. 사용자들은 자신의 지식 없이 고유한 컴퓨터에서 명령을 실행하고 있었습니다.

ClickFix Captcha는 사용자들에게 Windows Key + R을 활성화하도록 지시했으며, 이는 자동으로 클립보드에 저장된 사전 로드된 명령을 트리거했습니다. 이 명령은 의심을 불러일으키지 않는 상태에서 원격 서버에서 암호화된 파일을 비밀스럽게 다운로드하면서 악성 코드를 실행했습니다.

DarkAtlas는 또한 악성 소프트웨어가 XOR 복호화를 사용하여 실제 목적을 숨기는 것을 밝혔으며, 이로인해 탐지가 특히 어려워졌습니다. 공격자들은 악성 페이로드를 포함하고 있는 ZIP 파일을 호스팅하기 위한 가짜 도메인을 생성했습니다.

한번 다운로드되면, 이 파일들은 민감한 정보를 훔치거나 랜섬웨어를 배포하도록 설계된 해로운 스크립트를 추출하고 실행했습니다. 걱정스럽게도, 해커들은 악성 소프트웨어를 배포하기 위해 무한한 수의 고유 URL을 생성할 수 있었으므로, 보안 시스템이 효과적으로 그들을 블랙리스트에 올리는 것은 거의 불가능했습니다.

이 공격은 Gen의 2024년 3분기 보고서에 따르면 사용자들을 말법으로 속여 악성 소프트웨어를 설치하게 만드는 “스스로를 속이는 공격(Scam-Yourself Attacks)”이 급격하게 증가하고 있음을 보여줍니다. 공격자들은 가짜 CAPTCHA 프롬프트와 기만적인 튜토리얼을 함께 사용하여 ClickFix 사기를 통해 제어권을 얻습니다.

보고서에 따르면, AI와 딥페이크 기술은 사기를 더 어렵게 탐지하게 만들었습니다. 사용자들은 Norton Genie의 도움을 받아 발전하는 위협으로부터 보호받을 수 있습니다.

연구자들은 사용자들이 경계를 늦추지 않고, 알 수 없는 웹사이트로부터의 예상치 못한 명령을 실행하지 않도록 조언하고 있습니다.