해커는 가짜 reCAPTCHA 팝업을 이용해 맬웨어를 설치하고 암호화폐를 훔칩니다.

사이버 보안 그룹 eSentire는 가짜 CAPTCHA 스타일 팝업을 사용해 피해자를 속여dent증명 수집 맬웨어, Amatera Stealer, NETSupport RAT를 배포하도록 하는 방법을 발견했습니다. 이는 ClickFix라는 방법을 악용한 것입니다.

eSentire의 위협 대응팀(TRU)은 11월 ClickFix를 악용하여 표적 시스템에 대한 초기 접근 권한을 획득하는 공격이 급증하는 것을 trac해 왔습니다. TRU에 따르면, 위협 행위자들은 이 방법을 사용하여 피해자들이 Windows 실행 프롬프트를 통해 악성 명령을 수동으로 실행하도록 유도하는 사회 공학적 기법을 사용합니다. 

이러한 명령이 실행되면 감염 체인이 시작되고, Amatera Stealer와 NetSupport RAT가 배포되면서 끝납니다. 둘 다 합법적인 원격 모니터링 도구이지만 사이버 범죄자들이 허가받지 않은 원격 접근에 이를 악용합니다.

ClickFix 캠페인은 reCAPTCHA를 사용하여 맬웨어를 몰래 침투시킵니다.

eSentire의 연구에 따르면 발표된 , 해커들은 가짜 웹사이트와 팝업을 이용해 피해자들을 유인하고 있는데, 이러한 팝업은 마치 "보안 검사"처럼 보이며, 사기성 reCAPTCHA 인증 상자와 위조된 Cloudflare Turnstile 페이지 등이 포함됩니다. 

이러한 기만적인 인터페이스는 사용자에게 문제를 "해결"하도록 유도하며, 사용자는 위험을 인지하지 못한 채 유해한 명령을 실행하게 됩니다. 최초 명령이 실행되면 Amatera Stealer가 먼저 설치되고, 그 후 NetSupport Manager가 설치됩니다. NetSupport Manager는 해커가 마치 물리적으로 존재하는 것처럼 감염된 컴퓨터를 모니터링하고 제어할 수 있도록 합니다.

아마테라 스틸러는 완전히 새로운 위협은 아니지만, AcridRain으로도 알려진 ACR 스틸러의 최신 버전입니다. 이전 버전은 2024년 해커 포럼에 서비스형 맬웨어(MaaS) 제품으로 처음 등장했으며, 여러 사용자가 구독 패키지를 통해 배포했습니다.

ACR의 판매는 2024년 중반, 온라인에서 SheldIO로 알려진 개발사가 맬웨어 소스 코드를 판매하면서 중단되었습니다. 판매 발표에도 불구하고, 해당 그룹은 이것이 개발의 "끝은 아니다"라고 밝혔습니다. 연구원들은 현재 Amatera가 ACR의 직접적인 후속 버전으로, 더 많은 기능과 새로운 우회 기법을 탑재하여 재구축되었다고 보고 있습니다.

보안 감사 회사인 Proofpoint가 6월에 발견한 아마테라는 월 199달러에서 연 1,499달러까지 구독 방식으로 이용할 수 있습니다.

eSentire는 "아마테라는 위협 행위자에게 암호화폐 지갑, 브라우저, 메시징 애플리케이션, FTP 클라이언트, 이메일 서비스를 대상으로 광범위한 데이터 유출 기능을 제공합니다. 샌드박스, 안티바이러스 솔루션, EDR 제품에서 사용되는 사용자 모드 후킹 메커니즘을 우회하기 위해 WoW64 SysCalls와 같은 고급 우회 전략을 사용합니다."라고 밝혔습니다.

할 수 있습니다 수집 Chrome, Brave, Edge, Opera, Firefox와 Tor Browser, Thunderbird와 같은 특수 플랫폼에서 저장된 비밀번호, 카드 정보, 검색 기록 및 파일을 

맬웨어를 숨기는 다단계 Windows PowerShell 로더

eSentire의 위협 분석에 따르면, 아마테라의 감염 과정은 여러 계층의 난독화된 PowerShell 명령을 기반으로 구성됩니다. 

TRU 연구원들은 "AMSI_RESULT_NOT_DETECTED"라는 문자열에 XOR 연산을 사용하여 후속 페이로드를 복호화하는 단계를 확인했습니다. 이 용어는 Microsoft의 안티 맬웨어 스캔 인터페이스(Anti-Malware Scan Interface)와 관련이 있습니다. 로더 개발자는 동적 분석을 수행하는 연구원들을 혼란스럽게 하기 위해 의도적으로 이 문구를 선택했을 가능성이 있습니다.

아마테라가 이러한 캠페인에서 가장 흔히 유포되는 페이로드이지만, eSentire는 동일한 로더가 루마(Lumma)와 비다르(Vidar)를 포함한 다른 정보 탈취기를 배포하는 데 사용된 사례도 기록했습니다. 일부 샘플에는 다단계 로더를 실행하는 데 필요한 구성 매개변수가 부족하여 해커가 NetSupport Manager를 직접 배포하는 방식을 선택했습니다.

eSentire를 비롯한 보안 회사들은 송장으로 위장한 Visual Basic 스크립트 파일을 배포하는 이메일 캠페인을 문서화했습니다. 해당 파일이 열리면 XWorm을 배포하는 PowerShell 로더를 시작하는 배치 스크립트가 실행되었습니다.

다른 캠페인에는 ClickFix 프롬프트를 모방한 가짜 Cloudflare 인증 페이지로 방문자를 리디렉션하는 손상된 웹사이트가 포함되었습니다. 이 활동은 SmartApeSG, HANEYMANEY, ZPHP 등의 이름으로 알려진 작전과 관련이 있으며, 모두 최종 페이로드로 NetSupport RAT를 사용합니다.

해커들은 위조된 CAPTCHA 확인을 호스팅하는 사기성 Booking.com 웹사이트를 구축하여 사용자에게 Windows 실행 대화 상자를 열고 명령을 실행하도록 지시하고 감염된 시스템에dent증명을 훔치는 스크립트를 직접 설치했습니다.

일부 피싱 캠페인은 Cephas라는 새로운 피싱 키트를 사용합니다. 사이버 보안 솔루션 회사 Barracuda에 따르면, Cephas는 자동화된 스캐너가 감지하기 어려운 보이지 않는 문자를 피싱 페이지의 소스 코드에 삽입하는 고급 난독화 기법을 사용합니다.

"이 악성코드 키트는 소스 코드 내에 임의의 보이지 않는 문자를 생성하여 코드를 숨김으로써 피싱 방지 스캐너를 회피하고 시그니처 기반 YARA 규칙이 정확한 피싱 방법을 식별하지 못하도록 합니다."라고 바라쿠다는 밝혔습니다 지난주 분석 보고서에서