Magecart 공격 위해 WooCommerce 사이트 검색하는 WordPress 악성코드 발견!

WordPress malware finds WooCommerce sites for Magecart attacks

웹사이트 보안 기업 Sucuri 연구원들이 새로운 WordPress 악성코드를 발견했습니다. 

해커들은 다수의 고객을 보유한 WooCommerce 온라인 쇼핑몰을 찾아 추후 Magecart 공격에 이 새로운 악성코드를 이용할 것입니다.

5백만 건 이상 설치된 WooCommerce는 장소와 품목에 구애받지 않고 전자 상거래 사이트가 쉽게 실행되도록 고안된 오픈소스 WordPress 플러그인입니다. 

이전에도 다수 발견된 바 있는 WooCommerce 온라인 스토어 공격에서 해커들은 신용카드 정보 탈취(Magecart 공격으로도 알려짐)를 목적으로 관리자 비밀번호 브루트포싱을 통해 사이트 해킹을 시도한 바 있습니다. 

WooCommerce 기반 온라인 쇼핑몰 해킹을 위해 해커들은 새로운 악성코드를 드롭하고 다른 WordPress 플러그인에서 발견된 보안 취약점을 악용합니다. 

취약점 악용을 통해 온라인 스토어의 내부 구조에 접근이 가능하며 사이트가 WooCommerce 플랫폼을 이용 중인지 확인하여 WooCommerce 설치 관련 정보를 수집 및 탈취한 후 공격자 제어 서버로 전송합니다. 

Sucuri 악성코드 연구원 Luke Leal은 다음과 같이 설명했습니다. 

"WooCommerce 플러그인은 기본적으로 지불 카드 정보를 저장하지 않으며, 공격자는 특별한 기술 없이 WordPress 데이터베이스로부터 중요한 지불 카드 정보를 탈취할 수 없습니다."

악성코드는 취약한 WordPress 사이트를 감염시킨 후 'post-exploit' 단계의 일환으로 악성 PHP 스크립트 형태로 설치됩니다. 

해당 스크립트는 다른 WordPress 타깃을 확인하는 데 사용되며 관련 데이터베이스로 연결해 WooCommerce 정보를 쿼리합니다. 

또한 MySQL 데이터베이스 크리덴셜을 추출하여 감염된 온라인 스토어의 WordPress 데이터베이스에 접근할 수 있도록 하며 주문 및 지불 총 건수를 포함한 WooCommerce 특정 정보를 수집하도록 고안된 SQL 쿼리를 실행합니다.

공격자들은 탈취한 주문 및 지불 정보를 이용해 공격에 해당 스토어가 스키머 적합한지 판단합니다. 

이를 통해 다수의 트래픽과 주문을 수신하는 온라인 스토어에 공격 리소스를 집중할 수 있습니다.

그리고 활성화되지 않거나 다수의 고객을 보유하지 않은 온라인 스토어를 공격하는 데 소모되는 불필요한 공격 리소스를 절약할 수 있습니다. 

WooCommerce 온라인 스토어만 집중 공격하는 Magecart 캠페인은 약 한 달 전에 발견되었으며, 신용카드 번호 및 CVV 번호를 수집하는 JavaScript 기반 카드 스키머를 인젝션하는 과정에서 발견되었습니다. 

이 WordPress 악성코드는 감염된 웹사이트에서 공격자가 웹 스키머를 다시 사용할지 여부를 결정하기 위해 3가지 백도어를 사용합니다. 

Luke Leal은 아래와 같이 설명했습니다.

"해당 악성코드는 공격자들이 감염된 호스팅 환경 내 새로운 타깃을 파악하기 위해 무단 접근을 악용하는 대표적인 예로, 크로스 사이트 감염을 통해 현재 감염된 웹사이트 디렉터리 외 다른 디렉터리에 다수의 백도어를 생성하는 방법을 잘 보여줍니다."

출처:

https://securityboulevard.com/2020/05/wordpress-malware-collects-sensitive-woocommerce-data/

https://www.bleepingcomputer.com/news/security/wordpress-malware-finds-woocommerce-sites-for-magecart-attacks/