Home > 전체기사
호주 산불 사태 피해자 위한 성금 사이트에 메이지카트 침투
  |  입력 : 2020-01-14 11:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세계적 화제가 됐던 호주 산불 사태...피해자 위한 성금 사이트까지도 개설돼
결재 페이지에서 발견된 스키밍 코드...이를 통해 지불 관련 정보 빼돌린 메이지카트


[보안뉴스 문가용 기자] 호주 산불 피해자들을 위해 성금을 모으던 웹사이트를 메이지카트(Magecart)가 공격했다. 이들은 해당 사이트에 악성 스크립트를 주입했고, 이를 통해 기부자들의 지불 관련 정보를 훔쳐냈다고 한다.

[이미지 = iclickart]


메이지카트는 각종 전자상거래 사이트에 침투해 결재 페이지에 악성 자바스크립트 코드를 주입해 신용카드 정보나 지불에 필요한 모든 정보들을 가로채 자신들이 제어하는 서버로 전송하는 수법으로 수많은 사건을 일으켜 온 그룹이다.

이런 그들이 호주에서 발생한 산불 사태의 피해자들을 돕기 위해 마련된 웹사이트를 침해한 것을 제일 먼저 발견한 건 보안 업체 멀웨어바이츠(Malwarebytes)다. 사이트 자체는 정말로 피해자들을 돕기 위해 개설된 것이었으나, 메이지카트로 인해 선의의 기부자들이 피해자로 전락했다.

메이지카트의 특성 상 기부자들 중 일부나 특정 인물을 표적으로 삼아 공격을 했을 가능성은 높지 않아 보인다고 한다. “하지만 수많은 기부자들이 전혀 의도치 않은 피해를 입었고, 추가 피해 발생 가능성도 적지 않습니다.”

해당 기부 사이트에 심겨진 스크립트는 ‘스키머’로 분류되며, 이름은 ATMZOW라고 한다. 결재 페이지에서 발견됐다. “기부자가 이 사이트로 들어와 지불과 관련된 정보를 입력하고, 이에 대한 처리 절차를 결재 페이지에서 밟을 경우, 악성 스크립트가 입력된 정보를 훔치고 vamberlo.com이라는 도메인으로 전송합니다. 이 도메인 정보는 난독화 되어 있었습니다.”

멀웨어바이츠의 제롬 세구라(Jerome Segura)는 “이와 같은 사실을 파악한 후 문제의 vamberlo.com 도메인이 폐쇄되도록 공식 절차를 진행했다”고 하며, “현재는 해당 도메인이 셧다운 된 상태”라고 말한다. 즉, 기부 사이트에서 기부를 진행해도 정보가 새나가지 않는다는 것이다.

그러나 스키머 코드가 사이트에서 제거된 건 아니다. 따라서 공격자가 코드를 살짝 편집해 도메인을 바꾼다면 다시 정보가 새나갈 수 있다. “위협이 완전히 사라진 건 아닙니다. 도메인 폐쇄는 임시 조치일 뿐입니다.” 이에 멀웨어바이츠는 사이트 운영자에 연락해 이러한 사실을 알렸으나 아직은 아무런 대답이 없는 상황이다.

보안 업체 배드 패키츠(Bad Packets)의 트로이 머슈(Troy Mursch)는 “퍼블릭WWW(PublicWWW)라는 도구를 사용해 같은 스크립트가 현재 39개 웹사이트에 심겨져 있고 활발히 활용되고 있다는 것을 알아냈다”고 추가로 밝히기도 했다. 하지만 해당 사이트의 스크립트들이 같은 도메인을 통해 정보를 수집하는지는 아직 확인되지 않았다.

“만약 이 스크립트들 전부가 vamberlo.com 도메인과 연결되어 있었다면, 아마 지금 전부 정상 기능을 멈춘 상태일 겁니다. 물론 위에서 말했듯 메이지카트가 스크립트를 따로 변경했다면 작동 중일 것이고요.”

3줄 요약
1. 전 세계적으로 화제가 되었던 호주 산불 사태.
2. 피해자들을 위한 성금 사이트에 메이지카트 난입해 스키머 코드 심음.
3. 기부자들의 지불 정보가 전부 메이지카트로 넘어감.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)