포스팅 내용

국내외 보안동향

대규모 Magecart 캠페인, 위조품 판매 사이트 노려

Massive Magecart campaign targets sites offering counterfeit sneakers


스니커즈의 인기가 높아질수록 위조품을 판매하는 사이트들 수 또한 급격히 늘어나고 있으며, 공격자들은 이 기회를 악용하여 수익을 올리려 하고 있는 것으로 나타났습니다. 


Malwarebytes의 연구원들은 해커가 이러한 사이트를 노려 구매자의 신용카드 정보를 탈취하도록 설계된 악성 Magecart 스크립트를 심고 있다고 밝혔습니다. 


"최근 브랜드 신발을 판매하는 사기성 사이트 수 백 곳에 신용카드 스키머가 삽입된 것을 확인했습니다. 이 사이트를 이용하는 쇼핑객들은 위조품을 받을 뿐만 아니라, Magecart 사기꾼들에게 개인 및 금융 정보를 내어 주게 됩니다.” 


전문가들은 이러한 위조 스니커즈 판매 사이트를 대상으로 하는 대규모 해킹 작전을 발견했으며, 이 사이트들 중 대부분은 아직까지 여전히 운영되고 있습니다. 



<이미지 출처: https://securityaffairs.co/wordpress/95006/cyber-crime/counterfeit-sneakers-magecart.html>



Magecart 스키머 코드는 결제 페이지 내 난독화된 JavaScript 파일인 translate.js에 삽입되었습니다. 



<이미지 출처: https://securityaffairs.co/wordpress/95006/cyber-crime/counterfeit-sneakers-magecart.html>



이 JavaScript는 쇼핑객의 신용카드 데이터를 수집해 중국에 위치한 서버인 103.139.113[.]34로 전송합니다. 


이 대규모 캠페인은 유사한 템플릿을 사용하며 오래된 버전의 Magento (1.9.4.2 이하), PHP (5.6.40 이하)를 사용하는 쇼핑몰들을 해킹했습니다. 


또한 전문가들은 이 사이트들 모두 소수의 IP 주소 서브넷에 위치한 것을 발견했습니다. 


공격자들은 크롤링한 IP 범위 내에서 악성 스캐너를 사용했으며, 위조품을 판매하는 온라인 쇼핑몰을 해킹하기 위해 동일한 취약점을 악용한 것으로 추측됩니다. 


연구원들은 “위조품 판매 사이트를 이용할 경우 불법 위조품을 받을 뿐만 아니라 여러 범죄자 그룹에게 정보를 도난당할 위험이 있습니다.”라 결론지었습니다.


현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 악성 Magecart 스크립트가 삽입된 사이트를 아래와 같이 탐지하고 있습니다.



<Threat Inside 피싱 사이트 탐지 결과 화면>





출처:

https://securityaffairs.co/wordpress/95006/cyber-crime/counterfeit-sneakers-magecart.html

https://blog.malwarebytes.com/threat-analysis/2019/12/hundreds-of-counterfeit-online-shoe-stores-injected-with-credit-card-skimmer/

티스토리 방명록 작성
name password homepage