상세 컨텐츠

본문 제목

MageCart 해커들, 전자 상거래 사이트 80곳 이상 해킹해

국내외 보안동향

by 알약(Alyac) 2019. 8. 30. 09:30

본문

Magecart Hackers Compromise 80 More eCommerce Sites to Steal Credit Cards


보안 연구원들이 80개 이상의 전자 상거래 웹사이트가 Magecart에 해킹되어 온라인 쇼핑 유저의 신용 카드 정보를 공격자의 C&C 서버로 보내고 있는 것을 발견했습니다.


해킹된 웹사이트는 미국, 캐나다, 유럽, 라틴 아메리카, 아시아에서 운영하는 모터스포츠 및 하이패션 비즈니스에서 유명한 브랜드였습니다.


Magecart는 고객의 지불 카드 정보를 탈취하려는 의도로 온라인 신용카드 스키머를 은밀히 설치하는데 특화된 사이버 범죄 그룹을 통칭합니다.


폼재킹(Formjacking) 공격으로도 알려진 이 가상 신용 카드 스키머는 해커들이 해킹된 웹사이트의 장바구니 페이지에 주로 삽입됩니다.


그리고 실시간으로 고객의 지불 정보를 캡처하여 공격자가 제어하는 원격 서버로 보내는 JavaScript 코드입니다.


Magecart는 최근 British Airways, Ticketmaster, Newegg 등을 포함한 여러 유명 기업의 정보 탈취 사건의 범인으로 뉴스에 자주 등장했습니다.

 


<이미지 출처: https://thehackernews.com/2019/08/magecart-hacking-credit-card.html>

 


연구원들은 소스 코드 검색 엔진을 통해 과거 Magecart의 가상 신용 카드 스키머에서 발견한 악성 패턴을 포함하는 난독화된 JavaScript를 인터넷에서 검색했습니다.


검색 결과, 연구원들은 Magecart 그룹에 해킹된 80개 이상의 전자 상거래 웹사이트를 찾아냈습니다. 


이들 중 대부분은 승인되지 않은 임의의 파일 업로드 및 원격 코드 실행 결함에 취약한 Magento CMS 구버전을 사용 중인 것으로 나타났습니다.


연구원들은 코드 난독화 및 변조 탐지와 같은 앱 내 보호 장치가 없어 폼재킹과 같은 사이버 공격에 취약하다고 밝혔습니다.


해킹된 사이트 중 대부분이 Magento 1.5, 1.7, 1.9 버전을 사용하고 있었습니다. 


Magento 2.1.6 버전 및 이전 버전에는 임의의 파일 업로드, 원격 코드 실행, CSRF 취약점이 모두 존재합니다. 


이로 인해 해당 사이트들이 해킹되었다고는 장담할 수 없지만, 취약한 Magento 버전은 공격자가 폼재킹 코드를 사이트에 삽입할 수 있게 허용합니다.


연구원들은 연방 법 집행 기관과 협력하여 영향을 받은 모든 사이트들에 해킹 사실을 알렸다고 밝혔습니다.


연구원들은 아직 이 사고가 진행 중이기 때문에 피해자들의 이름을 공개하지 않기로 했다고 전했습니다.


Magecart의 수익 창출 활동을 분석한 결과 탈취한 지불 카드 정보를 다크 웹 포럼에 판매한 정황도 확인되었습니다.


이외에도 정식 온라인 쇼핑 사이트에서 물건을 구매한 후, 사기 거래임을 세탁하기 위해 지정된 상품 운반책으로 배송한다는 것도 발견했습니다.


이 운반책들은 불법 자금을 받는 현지 운송업체와 협력하여 동유럽으로 상품을 보내고 현지 바이어들이 해당 상품을 구매함으로써 공격자들은 수익을 창출할 수 있었습니다.


전자 상거래 웹사이트의 취약점 악용을 막기 위해서는 최우선적으로 플랫폼 소프트웨어를 최신 버전으로 업데이트해야 합니다.


또한 코드 난독화와 화이트박스 암호화를 구현해 공격자가 웹 양식을 읽을 수 없도록 하고, 승인 되지 않은 웹사이트 파일의 변경을 탐지해낼 수 있는 솔루션을 사용해야합니다.


온라인 쇼핑 유저들은 정기적으로 지불 카드의 세부정보 및 은행 계좌를 모니터링하여 의심스러운 거래가 발생했는지 확인해야 합니다. 


아무리 작은 의심 거래라도 즉시 금융 기관에 신고할 것을 권고드립니다.





출처:

https://thehackernews.com/2019/08/magecart-hacking-credit-card.html

관련글 더보기

댓글 영역