상세 컨텐츠

본문 제목

새로운 Magecart 그룹, 가상머신과 샌드박스를 피하는 e-Skimmer 사용해

국내외 보안동향

by 알약4 2021. 11. 8. 09:00

본문

New Magecart group uses an e-Skimmer that avoids VMs and sandboxes

 

Malwarebytes의 연구원들이 새로운 Magecart 그룹을 발견했습니다. 이들은 탐지 및 보안 연구원이 사용하는 가상 환경 내 실행을 피하기 위해 브라우저 스크립트를 사용합니다.

 

또한 이들은 온라인 스토어에서 결제 카드 데이터를 훔치기 위해 소프트웨어 스키머를 사용합니다.

 

일부 악성코드 개발자들은 가상 머신 회피 기능을 구현하고, VMware 또는 Virtual Box의 존재를 알려주는 레지스트리 키 및 기타 정보를 확인하지만, 전문가들은 웹 관련 공격에서 브라우저를 통해 가상화 환경을 탐지하는 것을 거의 보지 못했다고 밝혔습니다.

 

연구원들은 WebGL JavaScript API를 통해 사용자 컴퓨터에 대한 정보를 수집하고 가상 머신 환경에서 실행을 방지하는 추가 브라우저 프로세스를 사용하는 공격자를 발견했습니다.

 

프로세스는 그래픽 렌더러를 식별해낸 후 이름을 반환합니다. 전문가는 많은 가상 머신에서 하드웨어(GPU) 렌더러의 소프트웨어 렌더러 폴백이 그래픽 카드 드라이버가 된다는 점을 지적했습니다. 다른 경우, 그래픽 카드는 가상 소프트웨어에서 지원될 수 있으며 이 경우에도 이름으로 식별해낼 수 있습니다.

 

 

<이미지 출처 : https://blog.malwarebytes.com/threat-intelligence/2021/11/credit-card-skimmer-evades-virtual-machines/>

 

 

Malwarebytes의 위협 인텔리전스 책임자인 Jérôme Segura는 아래와 같이 밝혔습니다.

 

“스키머가 swiftshader, llvmpipe, virtualbox라는 단어가 있는지 확인하고 있다는 것을 발견했습니다. 렌더러 폴백으로 구글 크롬은 SwiftShader, Firefoxllvmpipe를 사용합니다."

 

"이 브라우저 내 검사를 통해 공격자는 연구원과 샌드박스를 제외한 실제 피해자만 스키머를 통해 공격할 수 있도록 합니다.”

 

swiftshader, llvmpipe, virtualbox와 같은 단어가 발견될 경우 가상 머신 내부 실행과 관련이 있습니다. 실제 기계에서 스크립트를 실행할 경우 소프트웨어 스키머는 고객의 이름, 주소, 이메일 및 전화 번호와 신용 카드 데이터를 포함한 여러 필드를 긁어올 수 있습니다.

 

소프트웨어 스키머는 피해자가 가입한 온라인 상점의 비밀번호, 브라우저의 사용자 에이전트, 고유한 사용자 ID도 수집할 수 있었습니다. 데이터는 인코딩되어 단일 POST 요청을 통해 스키머를 호스팅하는 동일한 서버로 전송됩니다.

 

Malwarebytes에서 발표한 에서 공격에 사용된 소프트웨어 스키머의 소스코드와 및 IoC를 확인할 수 있습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/124287/hacking/magecart-e-skimmer-avoids-vms.html

https://blog.malwarebytes.com/threat-intelligence/2021/11/credit-card-skimmer-evades-virtual-machines/ (IOC)

관련글 더보기

댓글 영역