5,000개의 해킹 된 사이트에서 스팸 봇넷이 관리하는 악성 PHP 스크립트 발견 돼

Spam Botnet Tracked Down to Malicious PHP Script Found on 5,000 Hacked Sites

악성 PHP 스크립트가 5,000개 이상의 손상 된 웹사이트에서 발견 되었습니다. 이는 사용자를 다이어트 및 기억력 향상 보조제를 판매하는 웹사이트로 이동시키는 대규모 스팸 캠페인의 발원지로 지목 되었습니다.

이 스크립트의 목적은 사이버 범죄자들이 해킹 된 사이트를 제어할 수 있도록 하며, 다양한 스팸 캠페인으로의 동적 리디렉션을 관리하는 것입니다.

이 스크립트는 “Brain Food” 봇넷의 일부 입니다

이 스크립트는 스팸 봇넷인 “Brain Food” 인프라의 일부분입니다. 이 봇넷이 운영하는 스팸 캠페인은 2017년 3월부터 발견 되었습니다.

이를 연구한 보안 연구원은 봇넷의 운영자들이 웹사이트를 손상시킨 후 이 스크립트를 남긴다고 밝혔습니다. 이 스크립트는 필요에 따라 스크립트를 실행할 수 있으나, 주된 역할은 대규모 스팸 캠페인의 리디렉션 포인트의 역할입니다.

Brain Food 봇넷의 관리자들은 다양한 해킹 된 사이트의 PHP 스크립트로의 단축 링크를 포함한 스팸 이메일을 피해자에게 보냅니다.

사용자가 이 단축 링크를 클릭하면 PHP 스크립트로 이동 되며, 다이어트 및 기억력 향상 보조제를 판매하는 웹페이지를 호스팅하는 또 다른 해킹 된 사이트로 이동시킵니다. 이러한 사이트에서는 보통 위조품을 판매합니다.

PHP 스크립트는 Brain Food의 운영자들로부터 최근 스팸 캠페인으로부터 얻은 새로운 “리디렉션 타겟”을 받을 수 있습니다. 또한 이 스크립트는 각각 캠페인에 대한 클릭률 통계를 수집합니다.

단 7일 동안 2,400개 사이트에서 활성화 돼

연구원들은 이 PHP 스크립트의 복사본을 포함하는 사이트들 5천 개 이상을 추적했습니다. 그 결과, 이들 중 2,400곳이 지난 한 주 동안 활성화 되어 있었다고 밝혔습니다.

이 봇넷은 특정 CMS 플랫폼의 취약점을 악용하고 있지 않는 것으로 보입니다. Brain Food는 워드프레스, Joomla 등 다양한 플랫폼을 사용하는 해킹 된 사이트로 구성 되어 있었습니다.

이 스크립트의 코드는 polymorphic 구조를 사용했으며, 여러 계층의 base64 인코딩을 사용해 난독화 되었습니다. 게다가, 자동 구글 인덱싱으로부터 보호하기 위해 구글의 검색 크롤러에 404 “페이지를 찾을 수 없습니다”에러로 응답했습니다.

이 봇넷은 그저 스팸 컨텐츠만을 보여주기 때문에 현재는 위협이 되지 않지만, 봇넷 운영자들이 감염 된 사이트에서 언제든지 원하는 코드를 실행할 수 있기 때문에 위험할 수 있습니다.

출처 : 

https://www.bleepingcomputer.com/news/security/spam-botnet-tracked-down-to-malicious-php-script-found-on-5-000-hacked-sites/

https://www.proofpoint.com/us/threat-insight/post/brain-food-botnet-gives-website-operators-heartburn