Visa warns of new Baka credit card JavaScript skimmer
Visa에서 새로운 JavaScript 온라인 스토어 스키머 Baka에 대한 경고문을 발행했습니다. 이는 훔친 데이터를 추출해낸 후 메모리에서 자기 자신을 제거합니다.
신용카드 탈취 스크립트는 2020년 2월, 웹 스키밍 키트의 ImageID를 호스팅한 적이 있는 C&C 서버를 조사하던 중 발견되었습니다.
지난 해 Visa는 Pipka로 알려진 또 다른 JavaScript 웹 스키머를 발견했습니다. 이는 2019년 9월 북미의 한 온라인 스토어에서 처음 발견된 후 또 다른 온라인 스토어 16곳에 빠르게 확산되었습니다.
탐지 및 분석 회피
Baka는 작성이 가능한 양식의 필드를 노리고 이미지 요청을 통해 데이터를 추출하는 등 일반적인 스키밍 기능 이외에도 독창적인 난독화법 및 로더를 사용하고 악성코드의 설계 수준이 매우 높아 고도로 숙련된 악성코드 개발자의 작업인 것으로 추측됩니다.
Visa는 이에 대해 아래와 같이 언급했습니다.
“이 스키머는 정적 악성코드 스캐너를 피하기 위해 동적으로 로드되며 악성코드 난독화를 위해 각 피해자 마다 고유한 암호화 파라미터를 사용합니다.”
“이 스키머 변종은 개발자 툴을 이용한 동적 분석 가능성을 탐지하거나 데이터를 성공적으로 유출한 후 메모리에서 자신을 제거하여 탐지 및 분석을 피합니다.”
Visa는 여러 국가의 온라인 스토어에서 Baka를 발견했습니다. 이 악성코드는 jquery-cycle[.]com, b-metric[.]com, apienclave[.]com, quicdn[.]com, apisquere[.]com, ordercheck[.]online, pridecdn[.]com 도메인을 사용하는 해킹된 온라인 스토어에 주입된 상태였습니다.
<Baka의 유출 코드>
<이미지 출처: https://usa.visa.com/content/dam/VCOM/global/support-legal/documents/visa-security-alert-baka-javascript-skimmer.pdf>
페이지 렌더링 코드로 위장해
이 스크립트는 스크립트 태그를 통해 온라인 스토어의 결제 페이지에 주입되어 로더는 C2 서버로부터 스키밍 코드를 다운로드하여 메모리에서 실행합니다.
이로써 공격자는 해당 스토어 서버에 호스팅된 파일이나 고객의 컴퓨터를 분석 시 고객의 데이터를 수집하는 스키밍 코드가 발각되지 않도록 숨길 수 있습니다.
“스키밍 페이로드는 JavaScript로 동적으로 페이지를 렌더링하는데 사용되는 것으로 보이는 코드로 해독됩니다.”
“이 페이로드는 로더에서 발견된 것과 동일한 암호화 방식을 사용합니다. 이 스키머가 실행되면 결제 페이지 양식에서 결제 관련 데이터를 캡처합니다.”
Visa는 Baka에 대해 C2에서 다운로드한 스키밍 코드와 하드코딩된 값을 난독화하기 위해 XOR 사이퍼를 사용하는 첫 번째 JavaScript 스키밍 악성코드라 밝혔습니다.
<Baka 로더>
<이미지 출처: https://usa.visa.com/content/dam/VCOM/global/support-legal/documents/visa-security-alert-baka-javascript-skimmer.pdf>
예방을 위한 모범 사례 및 완화법
Visa는 금융 기관의 회원, 온라인 스토어 운영자, 서비스 제공업체, 서드파티 공급 업체, 통합 소매 업체에 결제 시스템이 해킹된 것을 발견할 경우 WTDIC(What to do if Compromised) 문서를 참조하여 조치를 취할 것을 권장했습니다.
또한 회사는 온라인 스토어 플랫폼의 보안을 위한 모범적인 방안을 공유했습니다.
- 온라인 스토어 환경에서 C2와의 통신이 있는지 주기적으로 확인하기
- 서비스 제공 업체를 통해 온라인 스토어 환경에 통합된 코드에 대해 숙지 및 경계하기
- CDN 및 기타 서드파티 리소스 면밀히 조사하기
- 온라인 사이트에서 취약점이나 악성코드를 정기적으로 스캔하기
- 정기적으로 쇼핑 카트, 기타서비스 및 모든 소프트웨어를 최신 버전으로 업그레이드 및 패치 적용하기
- 웹 애플리케이션 방화벽을 설정하여 웹사이트로의 의심스러운 접근 차단하기
- 관리 포털 및 계정에 대한 접근 권한을 꼭 필요한 인원에게만 부여하기
- 강력한 암호를 사용하고 이중 인증 기능 활성화 하기
- 직접 운영하는 결제 페이지보다 결제 솔루션 측에서 운영하는 다른 웹 페이지에 고객이 정보를 입력하도록 고려하기
이는 온라인 스토어 스키밍 악성코드로부터 운영자와 고객을 가장 안전히 보호할 수 있는 방안입니다.
출처:
https://usa.visa.com/dam/VCOM/download/merchants/cisp-what-to-do-if-compromised.pdf
https://www.pcisecuritystandards.org/pdfs/best_practices_securing_ecommerce.pdf
웹마스터 포럼 데이터베이스, 사용자 80만 명의 데이터 노출 (0) | 2020.09.08 |
---|---|
아웃룩 자격 증명 탈취를 목적으로 '사이트 오버레이' 기법 사용해 (0) | 2020.09.07 |
워너 뮤직 그룹(WMG) 온라인 스토어 해킹돼 (0) | 2020.09.04 |
핀테크(FinTech) 업계를 노리는 새로운 파이썬 트로이목마 발견 (0) | 2020.09.04 |
Emotet 악성코드, 가짜 ‘윈도우 10 모바일’ 첨부파일 사용 (0) | 2020.09.03 |
댓글 영역