해커들, 파비콘 EXIF 메타데이터에 스키머 코드 숨겨

Crooks hide e-skimmer code in favicon EXIF Metadata

전문가들이 Magecart 공격을 조사하던 중 이미지 파일의 EXIF 메타데이터에 스키머 코드가 숨겨져 있으며 해킹된 온라인 스토어에서 로드되고 있는 것을 발견했습니다.

연구원들은 워드프레스 WooCommerce 플러그인을 사용하는 인터넷 쇼핑몰에서 이 악성코드를 발견했습니다.

공격자는 이 스크립트를 통해 사용자가 해킹된 인터넷 쇼핑몰 사이트에 입력하는 신용카드 데이터 및 기타 민감 정보를 훔쳐 정보를 수집할 수 있게 됩니다.

이 공격의 특이한 점은 공격자가 신용카드 데이터를 추출하기 위해 이미지를 사용한다는 것입니다.

<이미지 출처: https://blog.malwarebytes.com/threat-analysis/2020/06/web-skimmer-hides-within-exif-metadata-exfiltrates-credit-cards-via-image-files/>

전문가들은 이 스크립트가 해킹된 웹사이트에서 사용하는 것과 동일한 파비콘 파일을 로드한다는 것을 발견했습니다.

공격자는 해당 이미지의 메타데이터 필드의 ‘Copyright’ 부분에서 이 전자 스키머를 로드했습니다.

<이미지 출처: https://blog.malwarebytes.com/threat-analysis/2020/06/web-skimmer-hides-within-exif-metadata-exfiltrates-credit-cards-via-image-files/>

초기 JavaScript는 <img> 태그를 사용하여 onerror 이벤트를 통해 favicon.ico의 EXIF 베타 데이터에 포함된 스키밍 코드를 로드합니다.

이 전자 스키머는 이름, 청구 주소, 신용카드 정보 등 사용자가 물건을 구매할 때 정보를 입력하는 입력 필드의 내용을 캡처하는 것이 가능합니다.

스키머가 수집한 정보는 Base64로 암호화되어 POST 요청을 통해 이미지 파일 형태로 외부 서버로 전송되기 전 문자열을 복호화합니다.

연구원들은 이 사건을 조사하던 중 해킹된 사이트의 오픈 디렉터리에서 스키머 툴킷의 소스 코드 복사본을 발견했습니다. 

공격자는 이 툴킷을 이용하여 스키머 코드가 Copyright 필드에 포함된 favicon.ico 파일을 생성할 수 있었습니다.

“이 스키머의 이전 버전은 jqueryanalise[.]xyz (아카이브)에서 호스팅되고 있었습니다. 여기에는 최신 버전에 추가된 난독화 기능은 없지만 이미지 파일의 메타데이터 내 Copyright 필드에서 JavaScript를 로드하는 등 핵심 기능은 동일합니다.”

전문가는 이 스키머가 Magecart 그룹 9와 관련이 있는 것으로 보인다고 밝혔습니다.

출처:

https://securityaffairs.co/wordpress/105253/malware/e-skimmer-favicon-exif-metadata.html

https://blog.malwarebytes.com/threat-analysis/2020/06/web-skimmer-hides-within-exif-metadata-exfiltrates-credit-cards-via-image-files/