상세 컨텐츠

본문 제목

해커들, 신용카드 정보를 훔치기 위해 WordPress 플러그인 감염시켜

국내외 보안동향

by 알약4 2021. 12. 9. 09:00

본문

Hackers infect random WordPress plugins to steal credit cards

 

신용 카드 스와이퍼가 온라인 상점 WordPress 사이트의 랜덤한 플러그인에 주입되어 탐지를 피한 채 고객의 지불 세부 정보를 훔치는 것으로 나타났습니다.

 

크리스마스 쇼핑 시즌이 다가오면서 공격자는 온라인 상점을 은밀한 스키머에 감염시키려는 노력을 더욱 강화하고 있습니다. 따라서 관리자는 경계를 늦추지 말아야 할 것입니다.

 

최근 유행하는 수법은 카드 스키머를 WordPress 플러그인 파일에 주입하는 것입니다. 대부분이 탐지를 피하기 위해 면밀히 모니터링되는 'wp-admin' 'wp-includes' 코어 디렉토리를 피하고 있습니다.

 

의외로 잘 보이도록 숨어

 

Sucuri의 새로운 보고서에 따르면 이 해커는 먼저 WordPress 사이트를 해킹 후 지속성을 위해 웹 사이트에 백도어를 삽입합니다.

 

해커는 이러한 백도어를 통해 관리자가 WordPress 및 설치된 플러그인의 보안 업데이트를 최신으로 유지하더라도 사이트에 계속해서 접근할 수 있습니다.

 

공격자는 백도어를 사용할 때 관리자 사용자 목록을 스캔해 권한 부여 쿠키와 현재 사용자 로그인을 통해 사이트에 접근합니다.

 

 

<이미지 출처 : https://blog.sucuri.net/2021/12/woocommerce-credit-card-swiper-injected-into-random-plugin-files.html>

<사이트 파일에 백도어 주입>

 

 

이후 공격자는 악성코드를 임의 플러그인에 주입합니다. Sucuri에 따르면, 많은 스크립트가 난독화되지도 않습니다.

 

 

<이미지 출처 : https://blog.sucuri.net/2021/12/woocommerce-credit-card-swiper-injected-into-random-plugin-files.html>

<플러그인에 난독화되지 않은 코드 추가>

 

 

하지만 분석가는 코드를 분석 시 이미지 최적화 플러그인에 WooCommerce에 대한 참조와 정의되지 않은 변수가 포함되어 있음을 발견했습니다. 이 플러그인은 취약점이 없으며 공격자가 랜덤으로 선택한 것으로 보입니다.

 

SucuriPHP 'get_defined_vars()'를 사용하여 정의되지 않은 변수 중 하나가 독일의 Alibaba 서버에서 호스팅되는 도메인을 참조한다는 것을 발견했습니다.

 

해당 도메인에서는 해킹된 웹사이트에 대한 링크를 찾아볼 수 없었습니다.

 

동일한 사이트에서 404페이지 플러그인에 두 번째 삽입이 있었습니다. 이 플러그인은 난독화되지 않은 코드 내 숨겨진 변수에 동일한 접근법을 사용하여 실제 신용카드 스키머를 포함하고 있었습니다.

 

이 경우 신용카드 스키밍 악성코드를 지원하기 위해 '$thelist' '$message' 변수가 사용되었으며, 전자는 수신 URL을 참조하고 후자는 'file_get_contents()'를 사용하여 결제 내역을 가져옵니다.

 

 

<이미지 출처 : https://blog.sucuri.net/2021/12/woocommerce-credit-card-swiper-injected-into-random-plugin-files.html>

<스키머 기능을 지원하는 변수>

 

 

카드 스키머로부터 사이트를 보호하는 방법

 

관리자는 사이트를 스키머로부터 보호하거나 감염 시간을 줄이기 위해 아래 보호 조치를 취할 수 있습니다.

 

첫째, wp-admin 영역을 특정 IP 주소로만 제한합니다. 백도어가 삽입되더라도, 심지어 관리자 쿠키를 훔쳐도 해당 사이트에 접근할 수 없습니다.

 

둘째, 웹사이트에서 활성 서버 측 스캐너를 통한 파일 무결성 모니터링을 구현해 코드 변경 사항이 오랫동안 눈에 띄지 않는 상황을 방지합니다.

 

마지막으로, 로그를 읽고 세부 사항을 자세히 살펴보는 습관을 들여야 합니다. 파일 변경 사항, 테마, 플러그인 업데이트는 항상 로그에 반영됩니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hackers-infect-random-wordpress-plugins-to-steal-credit-cards/

https://blog.sucuri.net/2021/12/woocommerce-credit-card-swiper-injected-into-random-plugin-files.html

 

관련글 더보기

댓글 영역