Home > 전체기사
카드 스키머 사용하는 메이지카트, 텔레그램을 C&C로 활용
  |  입력 : 2020-09-02 12:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로운 스키머 코드, 텔레그램 채팅 창으로 훔친 정보를 포스팅 해
정상 서비스라 탐지도 어렵고 차단도 쉽지 않아...공격자들에게 유리할 수밖에


[보안뉴스 문가용 기자] 카드 스키머 멀웨어를 가지고 전자 상거래 시스템을 집중적으로 노리는 사이버 범죄 단체인 메이지카트(Magecart)가 텔레그램(Telegram)이라는 종단간 암호화 메신저 서비스를 C&C 서버로 활용하기 시작했다.

[이미지 = utoimage]


카드 정보를 웹사이트로부터 훔쳐가는 공격자들은 주로 결제 페이지에서 필요한 정보를 받아낸 후 자신들이 운영하는 도메인이나 IP 주소로 옮긴다. 이렇게 정보를 수거해 한 곳에 모아두기 위해 공격자들은 자신들만의 인프라를 구축하거나, 다른 시스템이나 네트워크를 침해해 자신들의 공격용 인프라로 활용한다.

보안 업체 멀웨어바이츠(Malwarebytes)의 수장인 제롬 세구라(Jerome Segura)는 “다른 시스템을 침해하는 경우라면, 정상적이고 합법적인 곳을 노리는 편이 공격자 편에서 여러 모로 편리하다”며 “그런 데와 주고받는 트래픽은 ‘정상’으로 간주되기 때문”이라고 설명했다. 텔레그램을 C&C 채널로 활용하기 시작한 것도 이러한 장점 때문일 가능성이 높다고 세구라는 자사 블로그를 통해 추측했다.

최근 메이지카트 공격에 당하는 전자 상거래 사이트들이 급증하고 있다. 주로 흔히 알려진 취약점이나 탈취된 크리덴셜들이 공격에 활용된다. 침해에 성공할 경우 공격자들은 결제 페이지에 스키머라는 멀웨어를 심어 사용자들이 결제를 위해 입력하는 각종 정보들을 가로챈다. 주로 개인정보와 은행 및 지불 정보다.

“카드 스키밍을 전문으로 하는 사이버 범죄자들은 다른 유형의 멀웨어를 운영하는 사이버 범죄자들의 기술과 전략을 따라하면서 스스로를 발전시킵니다. 텔레그램은 종단간 암호화 기술을 탑재한 안전한 메신저로 유명하죠. 또한 그 점 때문에 사이버 범죄자들의 천국이 되어가고 있다는 것도 유명합니다. 메이지카트도 이러한 점을 적극 채용한 것으로 보입니다.”

보안 전문가 @AffableKraut는 “텔레그램 관련 코드가 추가된 최신 스키머는 특정 필드값을 페이지로부터 추출한다”고 트위터를 통해 밝혔다. “원하는 데이터를 찾았다면 공공 키를 사용해 암호화 하고, 베이스64(Base64)로 암호화 된 코드를 실행시킵니다. 이 코드가 바로 데이터를 밖으로 빼돌리는 것으로, 텔레그램의 봇 토큰을 이용하여 기존에 열린 대화창에 추출한 데이터를 포스팅 합니다.”

비슷한 내용을 블로그에 올린 세구라는 “브라우저의 현재 URL에 쇼핑 사이트라는 힌트가 있을 때에만 악성 코드가 발동한다”고 덧붙였다. “또한 사용자가 결제 내용을 확인할 때에만 발동되기도 합니다. 이 시점에 브라우저는 결제 관련 세부 내용들을 정상적인 쇼핑 사이트 서버로 보내기도 하지만 동시에 범죄자들의 텔레그램 채널로 보내기도 합니다. 이 때 필요한 봇 ID와 텔레그램 API 요청문 등은 전부 베이스64로 암호화 되어 있습니다.”

공격자들에게 있어 이러한 데이터 추출 방식은 효율적이다. 왜냐하면 스스로 인프라를 따로 마련할 경우 준비 비용이 들어갈 뿐만 아니라 탐지되어 차단이라도 당하면 또 다른 인프라를 마련해야 하기 때문이다. “텔레그램 등 유명 인프라를 C&C로 사용하면 유지 비용을 절약할 수 있습니다. 게다가 채팅 방에 정보가 포스팅 되니까 자신들의 공격 진행 상황을 실시간으로 모니터링 하는 것도 가능합니다.”

이러한 공격을 효율적으로 막기 위해서는 무엇보다 CSP가 도입되어 있어야 한다고 세구라는 조언한다. CSP란 콘텐츠 보안 정책(Content Security Policy)의 준말로, XSS나 데이터 주입과 같은 유형의 웹 공격을 막기 위해 고안된 웹 표준 중 하나다. 웹 관리자들은 이 CSP를 통해 위험하거나 안전한 웹사이트를 지정해 브라우저가 선별적으로 스크립트를 실행할 수 있게 해준다.

하지만 CSP만 도입한다고 카드 스키밍 공격이 다 해결되는 건 아니다. 제대로 된 설정이 필요하다. “이번 공격은 텔레그램이라는 정상 서비스를 공격에 활용하는 것이기 때문에 설정이 조금 까다로워질 수 있습니다. 가장 간단하게는 텔레그램 트래픽을 전면 차단할 수 있겠지만, 그러면 그 브라우저를 통해서는 텔레그램을 완전히 못 쓰게 됩니다. 그런데 공격자는 비슷한 인프라를 다른 플랫폼에서 마련하면 그만이거든요. 즉, 모든 정상 통신 플랫폼을 막아야 안전해질까 말까인 건데, 이런 식이면 정상적인 웹 활동을 못합니다.”

텔레그램을 C&C 서버로 활용한 사이버 공격 사례는 이것이 처음은 아니지만, 흔한 것도 아니다. 작년 9월 마사드 클리퍼 앤 스틸러(Masad Clipper and Stealer)라는 스파이웨어가 텔레그램을 C&C처럼 활용해서 큰 화제가 된 바 있다. 마사드 클리퍼 앤 스틸러는 윈도와 안드로이드 사용자들로부터 각종 데이터를 수집하는 멀웨어였다.

3줄 요약
1. 메이지카트, 텔레그램 통해 훔친 정보 빼돌리기 시작.
2. 종단간 암호화 보장하는 텔레그램, 어느 덧 사이버 범죄자들의 소굴로 전락.
3. 텔레그램을 신뢰하지 않는 서비스로 지정하면 되지만, 효율적인 방어는 아님.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)