요즘 링크드인이나 기타 소셜 미디어에서 캡차(CAPTCHA) 화면이 뜨면,
"아 또 로봇인지 아닌지 확인하라는 거네~" 하고 무심코 넘어가시죠? 그런데 그 캡차가 진짜가 아닐 수 있습니다. 😱
2024년 12월 말부터 정체를 감췄던 악성코드 Qakbot(콕봇)이 다시 활동을 시작했어요.
이번에는 'ClickFix'라는 새로운 방식을 이용해서 사람들을 속이고, 그 결과 전 세계 곳곳에서 피해가 발생 중입니다.
😈 'ClickFix'는 뭐길래?
ClickFix는 간단히 말해 가짜 캡차 화면을 보여주고,
그걸 '해결하려면' 사용자에게 PowerShell 명령어를 복사해서 실행하라고 유도하는 방식이에요.
예전 같으면 "엥, 갑자기 명령어를 복사해서 붙여넣으라니?" 하고 의심했겠지만,
이 공격은 학생 과제 도와주는 링크나 게임 다운로드 사이트처럼 일상적인 작업처럼 포장돼 있어 쉽게 속을 수 있어요. 😥
🔥 어떻게 공격이 일어나냐면...
- 링크드인이나 다른 SNS에 유혹적인 링크를 올림
- 사용자가 클릭하면 가짜 사이트로 이동
- 거기서 '캡차를 풀라'고 하면서 PowerShell 명령어를 복사하게 유도
- 사용자가 그대로 실행하면, Qakbot 또는 다른 악성코드가 설치됨
이 악성코드는 단순한 트로이목마가 아닙니다. 시스템에 들어가면,
정보 유출(인포스틸러), 랜섬웨어 감염, 백도어 설치까지 가능한 강력한 기능을 갖고 있어요.
🌍 피해 지역도 전 세계적으로...
- 북미 (미국, 캐나다)
- 유럽 (영국, 프랑스, 독일)
- 중동 (사우디아라비아, UAE, 카타르)
- 그리고 의료, 건설, 정부기관 등 다양한 산업군이 대상이에요.
🧠 왜 이 공격이 위험한가요?
이 공격은 인간 심리를 정확히 찌르고 있어요.
- "캡차니까 괜찮겠지" → 신뢰 유도
- "업데이트 오류니까 고쳐야지" → 긴급함 유도
- "PowerShell 복사만 하면 된다는데?" → 간단함으로 방심 유도
그리고 Qakbot은 2023년에 국제적으로 대대적인 작전(Operation Duck Hunt)으로 기반 서버가 제거됐던 악성코드인데요,
이렇게 다시 모습을 드러냈다는 건 조직이 여전히 건재하고 더 정교해졌다는 신호입니다.
✅ 어떻게 방어해야 할까?
- ❌ PowerShell 명령어, 무조건 의심!
어떤 웹사이트든 명령어를 복사해서 실행하라는 말은 의심해야 합니다. - 🔐 제로 트러스트 관점 유지
아무리 캡차처럼 익숙한 것이라도 신뢰하지 말고, 항상 URL, SSL 인증서 등을 확인하세요. - 🧠 ‘공식’만 믿기
링크드인, 트위터 등에서 공유된 ‘도움말’, ‘다운로드’ 링크는 공식 경로가 아닐 수 있어요. - 🔁 보안 훈련 반복적으로 하기
직원들에게도 이런 최신 수법을 계속 알려줘야 해요. 요즘은 일반 사용자보다 더 정교한 공격을 하니까요!
🛑 마무리 한 마디
"그냥 캡차 하나 풀었을 뿐인데 내 컴퓨터가 해킹당했다고요?"
바로 이런 반응이 공격자들이 노리는 심리입니다. 😣
이젠 정체불명의 캡차도 의심해야 하는 시대에 살고 있습니다.
특히 PowerShell 명령어를 복사해서 붙여넣으라는 요구는 절대 따라하지 마세요!
🔐 기억하세요: 사이버 공격자들은 우리의 익숙함과 방심을 가장 먼저 노립니다.
오늘도 제로 트러스트! 💻🛡️
'CyberSecurity > Security🔐' 카테고리의 다른 글
| ☕ CoffeeLoader: 더 똑똑해진 스모크로더의 2단계 공격 무기 등장 (1) | 2025.04.01 |
|---|---|
| 😱 Ivanti 취약점 악용 'Resurge' 악성코드 주의보! 아직도 패치 안 했다고요? (1) | 2025.04.01 |
| 🧨 MFA도 뚫린다고? Evilginx와 AiTM 공격의 실체 (1) | 2025.03.31 |
| 🛡️ 점점 교묘해지는 사이버 공격, '공급망 보안'이 중요한 이유 (1) | 2025.03.31 |
| ☁️ Oracle 클라우드 해킹? 진실공방에 고객은 혼란만 가득…😨 (1) | 2025.03.30 |