세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
온라인 쇼핑몰 플랫폼 Magento, 카드정보 털리고 암호화폐 채굴까지
  |  입력 : 2018-04-08 16:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
결제 페이지 내 자바스크립트 스니퍼 심어 카드정보 중간에서 탈취
암호화폐 채굴 툴 업로드, 가짜 플래시 플레이어 이용해 악성코드 다운로드 유도


[보안뉴스 김경애 기자] 전 세계적으로 점유율 상위권을 차지하고 있는 오픈소스 온라인 쇼핑몰 플랫폼 마젠토(Magento)를 타깃으로 카드정보를 빼내고 암호화폐 모네로를 채굴하는 공격이 발생해 이용자들의 각별한 주의가 필요하다. 해당 공격은 본지에서도 이미 소개한 바 있는데, 피해가 계속 이어지고 있는 것으로 알려졌다.

[이미지=https://www.flashpoint-intel.com/blog]


이번 이슈는 플래시포인트(Flashpoint)가 발견한 것으로, 디폴트 관리자 계정을 사용하는 홈페이지 대상으로 데이터를 탈취하고, 모네로를 채굴하는 크립토마이닝 공격을 펼치고 있다.

공격자는 디폴트 계정을 사용하는 관리자 패널을 찾기 위해 무작위로 대입하는 브루트포스(Brute-force) 공격을 수행해 관리자 패널에 침투를 성공한 뒤, 3가지 방법으로 이득을 취한 것으로 분석됐다.

첫 번째 방법은 결제 페이지 내 자바스크립트 스니퍼를 심어서 카드정보를 중간에서 탈취, 두 번째 방법은 지불과 관계없는 웹사이트를 침해했을 때는 암호화폐(모네로)를 채굴하는 툴을 업로드하며, 세 번째 방법으로는 가짜 어도비 플래시 플레이어(Adobe Flash Player) 다운로드 페이지로 리다이렉트해 악성 프로그램(AZORult)을 다운로드하도록 유도하고 있다.

AZORult는 데이터 탈취 악성코드이며, Rarog라는 모네로 채굴 악성코드를 추가로 다운로드한다. 또한, 공격자들은 악성 파일을 매일 업데이트해 시그니처 기반의 안티 멀웨어 툴을 우회한다. 주로 온라인 쇼핑몰이 가장 큰 피해를 보고 있고, 그 다음은 교육 및 의료 분야의 홈페이지인데, 피해 IP 주소가 미국과 유럽에 집중되어 있는 것으로 분석됐다.

피해 홈페이지가 1,000여개가 넘어 대응을 위해 법 집행기관과 현재 협력 중인 것으로 알려졌으며, Magento 외에 Powerfront, OpenCart 등의 쇼핑몰 플랫폼에 대해서도 주의가 전파되고 있다.

이번 이슈와 관련해 한국인터넷진흥원 침해대응단 탐지1팀은 크리덴셜(계정 정보)에 관심을 가지고 관리해야 하며, 최소한 디폴트나 흔히 사용하는 비밀번호는 사용하지 말 것을 당부했다. 또한, 이중 인증 시스템을 도입하는 것도 좋은 방법이며, 파일이 변조되지 않았는지 주기적인 검증이 필요하다고 덧붙였다.

[출처]
1. Flashpoint, “Compromised Magento Sites Delivering Malware”, 2018.4.2.
2. Bleeping Computer, "Over 1,000 Magento Stores Hacked to Steal Card Data, Run Cryptojacking Scripts“, 2018.4.4

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)