Magecart 해커들, 웹사이트 파비콘에 PHP 기반 백도어 숨겨

 

 

Magecart Hackers Now hide PHP-Based Backdoor In Website Favicons

 

사이버 범죄 그룹이 해킹된 서버에 대한 원격 접속을 유지하고 온라인 쇼핑 플랫폼에 자바스크립트 스키머를 주입해 사용자의 금융 정보를 훔칠 목적으로 파비콘으로 위장한 악성 PHP 웹 셸을 배포하고 있는 것으로 나타났습니다.

 

Malwarebytes의 Jérôme Segura는 지난 목요일 아래와 같이 밝혔습니다.

 

“Smilodon, Megalodon으로 알려진 이 웹셸은 서버 측 요청을 통해 온라인 스토어로 자바 스크립트 스키밍 코드를 동적으로 로드하는데 사용됩니다. 이 기술은 대부분의 클라이언트 측 보안 툴이 스키머를 탐지 및 차단하지 않기 때문에 흥미롭습니다.”

 

신용카드 정보를 훔치기 위해 온라인 스토어에 웹 스키머를 주입하는 전략은 Magecart에서 이미 검증된 공격 방식입니다.

 

폼재킹(Formjacking) 공격으로도 알려진 이 스키머는 운영자가 고객의 카드 세부 정보를 실시간으로 캡처해 원격으로 전송할 목적으로 온라인 스토어의 결제 페이지에 자바스크립트를 삽입하는 형태로 이루어집니다.

 

일반적으로 스키머 주입은 고객이 해당 온라인 스토어를 방문할 때 공격자가 제어하는 도메인에서 호스팅되는 외부 자바스크립트 리소스에 대한 클라이언트 측 요청을 수행하는 방식으로 작동합니다. 하지만 최근 공격은 스키머 코드가 서버 측에서 동적으로 온라인 스토어로 전달된다는 점에서 약간 다릅니다.

 

 

<이미지 출처 : https://blog.malwarebytes.com/cybercrime/2021/05/newly-observed-php-based-skimmer-shows-ongoing-magecart-group-12-activity/>

 

  

PHP 기반 웹셸 악성코드는 파비콘("Magento.png")으로 위장하여 HTML 코드의 바로가기 아이콘 태그가 가짜 PNG 이미지 파일을 가리키도록 조작해 해킹된 웹사이트에 주입됩니다.

 

 

<이미지 출처 : https://blog.malwarebytes.com/cybercrime/2021/05/newly-observed-php-based-skimmer-shows-ongoing-magecart-group-12-activity/>

 

 

Malwarebytes는 이 최신 캠페인을 Magecart Group 12의 작업이라 추측했습니다. 이유로는 사용한 전략, 기술, 절차가 유사하고 “발견한 최신 도메인 이름(zolo[.]pw)이 Magecart Group 12에서 이전에 사용한 도메인인 recaptcha-in[.]pw, google-statik[.]pw와 동일한 IP 주소(217.12.204[.]185)에서 호스팅된다”고 밝혔습니다.

 

결제 내역을 캡처하고 유출하려는 목적을 가진 Magecart 공격자는 지난 몇 개월 동안 광범위한 공격 벡터를 통해 감시망을 피하는 동시에 데이터를 훔쳐왔습니다.

 

이미지의 메타데이터 내에 카드 탈취 코드를 숨기고, IDN 호모그래프 공격을 실행하는 것에서부터 웹사이트 파비콘 파일에 웹 스키머를 숨기는 것, 구글 아날리틱스 및 텔레그램을 유출 채널로 사용하는 등 온라인 스토어를 해킹하기 위해 다양한 수법을 시도해왔습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/05/magecart-hackers-now-hide-php-based.html

https://blog.malwarebytes.com/cybercrime/2021/05/newly-observed-php-based-skimmer-shows-ongoing-magecart-group-12-activity/