워드프레스 플러그인

보안 연구원들이 가짜 관리자 계정을 생성하고 악성 자바스크립트 코드를 삽입하여 신용카드 정보를 훔치는 악성 워드프레스 플러그인을 발견했습니다. 에 따르면사이버 보안수쿠리라는 회사는 이번 도난이 이커머스 사이트를 노린 마제카트 공격의 일환이라고 밝혔습니다.

보안 연구원 벤 마틴은 "다른 많은 악성 또는 가짜 워드프레스 플러그인과 마찬가지로 파일 상단에 합법적인 것처럼 보이도록 속이는 정보를 포함하고 있습니다."라고 말합니다. "이 경우, 주석은 해당 코드가 '워드프레스 캐시 애드온'이라고 주장합니다."

악성 플러그인은 일반적으로 두 가지 방법 중 하나를 통해 워드프레스 사이트에 침입합니다:

손상된 관리자 계정의 악용
사이트에 이미 설치된 다른 플러그인의 보안 취약점 악용
설치 후 플러그인은 관리자 패널에서 자동으로 활성화 및 숨겨지기 위해 mu-plugins(필수 플러그인) 디렉토리에 스스로를 복사합니다.

"뮤 플러그인을 제거하는 유일한 방법은 파일을 수동으로 삭제하는 것이기 때문에 멀웨어는 이 작업을 방지하는 방법을 찾습니다."라고 마틴은 설명합니다. "멀웨어는 이러한 플러그인이 일반적으로 사용하는 후크(훅)의 콜백 함수를 주석 처리하여 이를 수행합니다."

또한 사기성 플러그인은 사이트 관리자의 주의를 끌지 않기 위해 관리자 사용자 계정을 생성하고 숨기며 대상 사이트에 장시간 계속 액세스합니다.

공격자의 궁극적인 목표는 신용카드 정보를 훔치는 멀웨어를 결제 페이지에 삽입하여 공격자가 제어하는 도메인으로 정보를 훔치는 것입니다.

이벤트 공개

이번 발견은 워드프레스 보안 커뮤니티에서 피싱 캠페인에 대해 사용자에게 경고한 지 몇 주 만에 나온 것입니다. 이 피싱 캠페인은 워드프레스 콘텐츠 관리 시스템의 관련 없는 보안 취약점에 대해 사용자에게 경고하고 관리자 사용자를 생성하고 지속적인 원격 액세스를 위한 웹 셸을 배포하는 플러그인을 설치하도록 유도합니다.

수쿠리는 이 캠페인의 배후에 있는 공격자들이 CVE 식별자의 '예약됨' 상태를 악용하고 있다고 말했는데, 이 상태는 CVE 번호 지정 기관(CNA) 또는 보안 연구자가 이 식별자를 사용할 때 나타나지만 아직 세부 정보가 채워지지 않은 상태입니다.

기타 마그카트 공격

이 사건은 웹사이트 보안 회사가 또 다른 Magecart 공격 캠페인을 발견했을 때도 발생했습니다. 이 캠페인은 웹소켓 통신 프로토콜을 사용하여 온라인 상점에 스키머 코드를 삽입했습니다. 멀웨어는 정상적인 결제 버튼 위에 있는 가짜 '주문 완료' 버튼을 클릭할 때 실행되었습니다.

유로폴이 이번 주에 발표한 사이버 사기에 관한 주제별 보고서에 따르면 디지털 스키밍은 신용카드 데이터의 도난, 재판매, 오용으로 이어지는 지속적인 위협이라고 설명합니다. 이 보고서에 따르면 "디지털 스키밍의 주요 진화는 프론트엔드 멀웨어 사용에서 백엔드 멀웨어 사용으로 전환되어 탐지가 더 어려워졌다는 점입니다."

또한 EU 법 집행 기관은 443개 온라인 판매업체에 스키밍 공격으로 인해 고객의 신용 카드 또는 결제 카드 데이터가 유출되었음을 통보했습니다.

그룹-IB는 또한 유로폴과 함께 '디지털 스키머 작전'이라는 국경 간 사이버 범죄 이니셔티브에 협력하고 있습니다. 이 회사는 유럽과 미주 17개국의 기업을 표적으로 삼는 데 사용된 ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter, R3nin 등 23개의 JS 스니퍼 제품군을 탐지 및 식별했다고 밝혔습니다.

이 회사는 "2023년 말 현재 전 세계적으로 132개의 JS-스니퍼 패밀리가 웹사이트를 공격하는 데 사용되는 것으로 알려져 있습니다."라고 덧붙였습니다.

기타 보안 위험

또한, 구글 검색과 트위터에서 발견된 암호화폐 플랫폼을 겨냥한 가짜 광고는 MS Drainer라는 암호화폐 탈취자를 홍보하는 것으로 밝혀졌습니다. 이 절도범은 2023년 3월부터 10,072개의 피싱 웹사이트를 통해 63,210명의 피해자로부터 5,898만 달러를 훔친 것으로 추정됩니다.

스캠스니퍼는 "구글 검색어와 다음 X의 검색 기반을 이용하면 매우 저렴한 비용으로 특정 대상을 선택하고 지속적인 피싱 캠페인을 시작할 수 있습니다."라고 설명합니다.

몇 가지 제안 사항

악성 플러그인으로부터 워드프레스 웹사이트를 보호하려면 다음 단계를 수행하면 됩니다:

신뢰할 수 있는 출처에서만 플러그인을 다운로드하세요.
워드프레스와 모든 플러그인을 정기적으로 업데이트합니다.
보안 플러그인을 사용하여 멀웨어를 탐지하고 차단하세요.
공격 시 복구를 위해 사이트를 백업하세요.
워드프레스 사이트가 악성 플러그인에 감염된 것으로 의심되는 경우 다음 도구를 사용하여 확인할 수 있습니다:

수쿠리 사이트체크
워드펜스 스캐너
인빅티 보안 스캐너
이러한 도구는 악성 플러그인을 탐지하고 제거하는 데 도움이 될 수 있습니다.