최근 발견된 악성코드 유포 캠페인이 사용자들을 속이기 위해 가짜 구글 크롬, 마이크로소프트 워드, 원드라이브 오류 메시지를 이용하고 있다.
이 캠페인은 사용자들이 악성 파워셸 명령어를 실행하도록 유도하여 악성코드를 설치하게 만든다. 이 캠페인은 ClearFake, ClickFix, TA571 등의 여러 위협 행위자들과 관련있다.
공격 방법을 보면, 사용자들에게 구글 크롬, 마이크로소프트 워드, 원드라이브 오류를 흉내낸 가짜 오류 화면을 보여준다. 이러한 오류 메시지는 사용자가 문제를 해결하기 위해 파워셸 "수정" 명령어를 복사하여 실행하도록 유도한다.
공격자들은 설득력 있는 사회 공학 기법을 사용하여 가짜 오류를 실제 문제로 보이게 만들고, 동시에 신뢰할 수 있는 해결책을 제시한다. 이러한 접근 방식은 사용자가 악성 지시를 따를 가능성을 높인다.
제공된 파워셸 명령어는 DNS 캐시를 비우고, 클립보드 내용을 제거하며, 속임수 메시지를 표시하고, 추가 악성코드 페이로드를 다운로드한다. 이러한 페이로드에는 DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, 클립보드 하이재커, Lumma Stealer 등이 포함되어 있다.
프루프포인트의 공격 체인 분석 내용을 보면 다음과 같다.
사용자가 손상된 웹사이트를 방문하면 바이낸스 스마트 체인 계약을 통해 블록체인에 호스팅된 악성 스크립트가 로드된다. 이러한 스크립트는 가짜 크롬 경고를 표시하고 사용자가 파워셸 스크립트를 실행하여 "루트 인증서"를 설치하도록 유도한다.
이 공격은 손상된 웹사이트에 iframe을 사용하여 또 다른 가짜 크롬 오류 오버레이를 생성한다. 사용자는 제공된 코드를 파워셸에 붙여넣고 실행하도록 지시받는다.
마이크로소프트 워드 문서처럼 보이는 HTML 첨부파일을 포함한 이메일이 사용자를 "Word Online" 확장을 설치하도록 유도한다. 이러한 문서의 가짜 오류 메시지는 문제를 해결하기 위한 옵션을 제공하며, 사용자가 파워셸 명령어를 실행하게 만든다.
프루프포인트 보고서에 따르면, 이 공격 캠페인은 파워셸 명령어 실행의 위험성에 대한 사용자들의 인식 부족을 악용한 것이다. 윈도우 시스템은 이러한 악성 행동을 효과적으로 감지하고 차단하지 못한다. 위협 행위자들은 지속적으로 다양한 감염 경로를 실험하여 캠페인의 효과를 높이고 더 많은 피해자를 찾고 있다고 강조했다.
프루프포인트는 사용자 보호를 위해 다음과 같은 조치를 취할 것을 권장한다. "알 수 없는 파워셸 명령어 실행을 주의하고, 오류 메시지 및 업데이트의 출처를 공식 소스에서 확인해야 한다"고 전했다.