공격자들, 보안 회사로 위장한 소프트웨어 스키머 사용

Crooks use software skimmer that pretends to be a security firm

 

Sucuri의 연구원들이 탐지를 피하기 위해 그들의 브랜드 이름을 사용하는 소프트웨어 스키머를 분석했습니다. 이 전자 스키머는 공격자가 타깃 웹페이지에 주입하는 base64로 인코딩된 JavaScript BLOB입니다.

 

연구원들은 정기 조사를 진행하던 중 Sucuri와 관련된 것으로 가장한 웹 스키머를 발견했습니다. 이 악성코드는 Magento 사이트의 데이터베이스에 주입되어 있었습니다.

 

해당 소프트웨어 스키머를 분석한 결과, 코드의 처음 109 라인은 아무 내용도 포함하고 있지 않았습니다. 110번째 라인은 base64로 인코딩된 Jacascript (eval(atob(… )를 포함하고 있었습니다. 이는 탐지를 피하기 위한 수법인 것으로 추측됩니다.

 

 

<이미지 출처: https://blog.sucuri.net/wp-content/uploads/2020/10/web_skimmer_magento_injection.png>

 

 

이 스키머는 체크아웃 버튼의 onclick 이벤트, 웹 페이지의 onunload 이벤트에 추가되어 있었습니다.

 

코드가 실행되면 신용카드, 청구 정보 등 필드에서 수집할 수 있는 모든 데이터를 모은 후 평문 파라미터 상태로 GET 요청을 통해 원격 게이트웨이로 추출합니다.

 

Sucuri는 보고서를 통해 아래와 같이 언급했습니다.

 

“<img> 태그의 src 파라미터가 hxxps://terminal4.veeblehosting[.]com/~sucurrin/i/gate.php로 변경되고, 평문 상태로 저장된 카드 번호, CVV, 만료일 등 관련 GET 파라미터와 함께 결제 데이터가 유출됩니다.”

 

“terminal4.veeblehosting[.]com은 악성 사이트도 해킹된 사이트도 아닙니다. 이는 네덜란드 호스팅 제공 업체인 Veeble에 속한 공유 서버 중 일부의 (108.170.55.202, 108.170.55.203) 호스트명입니다.”

 

해당 게이트웨이는 네덜란드 호스팅 제공 업체인 Veeble에서 호스팅되며, 계정명은 “sucurrin”이었습니다.

 

이 스키머는 Sucuri와 유사한 “sucurrin” Veeble 계정에서 동작됩니다. 전문가들은 공격자가 의심을 피하기 위해 terminal4.veeblehosting[.]com/~sucurrin/ url이 합법적인 Sucuri 웹사이트인 (https://sucuri.net/)에 연결한다는 사실을 발견했습니다.

 

X-Force Threat Intelligence에 따르면, Harley-Davidson Military, Nappy Land National Childcare Supplier, Soccer4All에 속산 웹사이트 최소 3개에 동일한 소프트웨어 스키머가 삽입되었습니다.

 

스키머가 해당 사이트에서 여전히 활성화된 상태인지는 확실하지 않습니다.

 

“알려진 브랜드로 위장한 악성 공격자를 걸러내고, 악성 신용카드 스키머를 차단하기 위해서는 웹사이트에서 무결성 제어 및 보안 모니터링을 통해 공격을 완화해야 합니다. 웹사이트 방화벽을 사용할 경우 처음부터 감염 위험을 최소화할 수 있습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/111009/cyber-crime/sucuri-software-skimmer.html

https://blog.sucuri.net/2020/11/another-credit-card-stealer-that-pretends-to-be-sucuri.html