요약 : 보안 외신 핵리드에 의하면 룸마스틸러(Lumma Stealer)라는 멀웨어를 퍼트리려는 해킹 단체가 가짜 캡챠(CAPTCHA) 페이지를 활용하기 시작했다고 한다. 보안 업체 퀄리스(Qualys)가 발견한 내용에 따르면 공격자들은 소프트웨어나 웹 서비스를 침해한 후 사용자가 접근하면 캡챠 인증 페이지를 띄운다고 한다. 사용자들은 자신이 로봇이 아니라 사람임을 입증하기 위해 클릭을 해야 하는데, 이 클릭으로 악성 파워셸 다운로드가 발동된다. 다운로드 된 파일에는 자바스크립트가 임베드 되어 있고, 이 스크립트는 파워셸을 사용해 또 다른 자바스크립트를 다운로드 받는다. 이 스크립트가 최종 페이로드를 다운로드 받아 실행하는데, 이것아 룸마스틸러다.


배경 : 룸마스틸러는 피해자의 컴퓨터에서 각종 민감한 정보를 검색해 찾아낸다. 주로 비밀번호나 암호화폐와 관련된 것들이다. 그런 후 그 정보를 C&C 서버로 전송한다. 룸마스틸러는 파일레스 멀웨어로, 메모리 내에서 곧바로 실행된다. 따라서 디스크에 흔적을 남기지 않는다.

말말말 : “공격자들은 캡챠, 파워셸, mshta.exe와 같은 일반적이고 정상적인 도구들을 악용해 자신들의 목적을 달성하고 있습니다. 파일레스 멀웨어를 사용하는 것만이 아니라 사실상 LOTL(Living Off The Land) 전략도 사용하고 있는 것이라고 할 수 있습니다. 그래서 탐지가 매우 어렵습니다.” -퀄리스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>