Magecart 해커들, 신용카드 데이터를 JPG 파일 내부에 숨겨

 

 

Magecart hackers hide captured credit card data in JPG file

 

사이버범죄자들이 해킹된 온라인 스토어에서 훔친 신용카드 데이터를 숨길 수 있는 새로운 방법을 고안해 냈습니다. Sucuri의 전문가들은 Magecart 해커들이 탈취한 데이터를 JPG 파일에 숨겨 탐지를 피하고 데이터를 감염된 사이트 내 저장하기 시작했다고 밝혔습니다.

 

이 새로운 유출 기술은 전자상거래 CMS인 Magento 2를 사용하는 인터넷 상점을 노린 Magecart 공격을 조사하는 동안 발견되었습니다.

 

Sucuri는 보고서를 통해 아래와 같이 밝혔습니다.

 

“해킹된 Magento 2 웹사이트에서 사이트 방문자로부터 POST 요청 데이터를 캡처하는 악성 인젝션이 발견되었습니다. 결제 페이지에 위치해 있으며, 캡처한 데이터를 암호화 후 .jpg 파일에 저장합니다.”

 

연구원들은 ./vendor/magento/module-customer/Model/Session.php 파일에 PHP 코드가 주입된 것을 발견했습니다. 공격자들은 getAuthenticates 기능을 사용하여 해킹된 환경에 나머지 악성코드를 로드했습니다.

 

이 코드는 암호화된 데이터를 이미지 파일인 “pub/media/tmp/design/file/default_luma_logo.jpg” 내에 저장했습니다. 이로써 공격자들은 쉽게 숨김 및 접근이 가능하고 의심을 불러일으키지 않은 상태에서 훔친 정보를 다운로드할 수 있게 됩니다.

 

사이트에 주입된 PHP 코드는 결제 페이지 내에서 POST 데이터를 캡처하기 위해 Magento 함수인 getPostValue를 사용합니다. PHP의 ^ 연산자를 통해 훔친 데이터를 XOR하기 전, 캡처된 POST 데이터는 base64로 암호화됩니다.

 

“이 PHP 코드는 Magento 함수 isLoggedIn을 사용하여 해당 POST 요청 데이터를 보낸 피해자가 사용자로 로그인 중인지 확인합니다. 만약 로그인 중일 경우, 사용자의 이메일 주소를 캡처합니다.”

 

Customer_ parameter는 성명, 주소, 지불 카드 정보, 전화번호, 사용자 에이전트 세부 정보 등 피해자가 결제 페이지에서 등록한 거의 모든 정보를 포함하고 있습니다.

 

 

<이미지 출처 : https://blog.sucuri.net/2021/03/magento-2-php-credit-card-skimmer-saves-to-jpg.html>

 

 

전문가들은 캡처된 데이터가 신용카드 사기, 스팸 캠페인, 스피어피싱 공격에 악용될 수 있다고 지적했습니다.

 

“공격자들은 해킹된 웹사이트에서 자신의 악성 행위을 탐지할 수 없도록 항상 적극적으로 새로운 방법을 찾고 있습니다.”

 

“이들은 가짜 .jpg 파일을 창의적으로 사용하여 웹사이트 관리자의 주의를 피해 수집된 신용카드 정보를 숨기고 저장할 수 있습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/115655/hacking/magecart-credit-card-jpg.html
https://blog.sucuri.net/2021/03/magento-2-php-credit-card-skimmer-saves-to-jpg.html