해커들은 가짜 CAPTCHA 페이지를 사용하여 윈도우용 악성 소프트웨어를 배포했습니다

악성 사용자가 가짜 CAPTCHA 페이지를 어떻게 활용하는가

새로운 연구자들은 해커들이 Windows 사용자들을 속여 PowerShell 악성 스크립트를 실행하도록 만드는 취약점을 발견했습니다. Stealthy StealC Information Stealer라는 이름의 이 스크립트는 브라우저 데이터, 암호화폐 지갑 비밀번호, Steam 및 Outlook 계정 정보를 훔치고 화면 캡처와 함께 모든 것을 관리 서버로 전송합니다.

공격 과정은 다음과 같습니다.
1. 가짜 CAPTCHA 페이지
해커들은 일반적인 CAPTCHA 페이지처럼 보이는 허위 인터페이스를 배포합니다. 이 페이지에서 사용자는 Windows + R(실행 대화상자 열기) 키 조합을 누르고 그 다음 Ctrl + V(클립보드 붙여넣기)를 요청받습니다.

2. 클립보드를 통한 PowerShell 실행
클립보드에 미리 실행 가능한 PowerShell 스크립트가 로드됩니다. 사용자는 지시에 따라 수동으로 이를 실행하지만, 명령이 악성임을 인지하지 못합니다.

3. 코드 다운로드 및 배포
스크립트가 실행되면 원격 서버와 연결되어 추가 악성 코드를 다운로드합니다. 트래픽은 RC4 프로토콜로 암호화되어 표준 보안 수단으로 탐지가 어렵습니다.

왜 위험한가?
- 기존 방어 우회 – 파일 다운로드 차단 메커니즘이 작동하지 않을 수 있습니다. 스크립트는 이미 시스템에서 실행 중이기 때문입니다.
- 광범위한 데이터 탈취 – 브라우저 비밀번호부터 암호화폐 키, 인기 서비스 계정까지 다양합니다.
- 사용자에게 눈에 띄지 않음 – 행위가 일반적인 보안 점검처럼 보여 악성 소프트웨어 실행으로 인식되지 않습니다.

보호 방법
- PowerShell 사용 제한: 서명 없는 스크립트 실행을 금지하는 정책 설정
- Windows 애플리케이션 제어: AppLocker 등 프로그램 실행 통제 시스템 활성화
- 외부 트래픽 모니터링: 의심스러운 연결(예: RC4로 암호화된 HTTP 트래픽)을 추적하고 차단

이 지침을 따르면 사용자가 이러한 공격의 피해자가 되는 위험을 크게 줄일 수 있습니다