|
4,500개 이상의 WordPress 사이트 방문 시 광고 페이지로 리디렉션하도록 해킹돼 분석팀 2023.01.26 |
|
|
2017년부터 진행된 것으로 여겨지는 대규모 캠페인이 4,500개 이상의 WordPress 웹사이트를 감염시켰다. 한 보안 및 호스팅 업체에 따르면 감염은 방문자를 원하지 않는 사이트로 리디렉션하도록 설계되고 호스팅된 "track[.]violetlovelines[.]com"이라는 악성 도메인의 난독화된 JavaScript 주입과 관련이 있다. 웹사이트 스캔 및 분석 엔진의 데이터에 따르면 해당 사이트는 2022년 12월 26일부터 활성화되었다고 한다. 2022년 12월 초에 발생한 이전 공격은 3,600개 이상의 사이트에 영향을 미쳤으며, 2022년 9월에 기록된 또 다른 공격은 7,000개 이상의 사이트에 영향을 미쳤다. 악성코드는 WordPress index.php 파일에 삽입되며 해당 보안 업체는 지난 60일 동안 손상된 사이트의 33,000개 이상의 파일에서 이러한 변경 사항을 제거했다고 밝혔다. 보안 연구원은 "해당 캠페인은 최근 몇 달 동안 가짜 CAPTCHA 알림 사이트에서 합법적으로 보이지만 악의적인 웹사이트로 리디렉션되는 블랙햇 '애드 네트워크'로 전환되었다."라고 말했다. 따라서 일반 사용자가 해킹된 WordPress 사이트 중 하나에 접속하면 리디렉션 체인이 트리거되어 원치 않는 광고를 차단하는 제품에 대한 광고를 제공하는 페이지를 보여준다.
[그림1. 리디렉션 체인이 트리거된 모습]
더욱 문제가 되는 점은 Crystal Blocker라는 광고 차단기의 웹사이트가 잘못된 브라우저 업데이트 알림을 표시하도록 설계되어 사용자가 사용하는 웹 브라우저에 따라 확장 프로그램을 설치하도록 속이는 것이다. 브라우저 확장 프로그램은 Google Chrome (60,000명 이상), Microsoft Edge (40,000명 이상) 및 Mozilla Firefox (8,635명)에 걸쳐 거의 110,000명의 사용자가 사용한다. "확장 프로그램에 실제로 광고 차단 기능이 있지만 사용하기에 안전하다는 보장은 없으며, 현재 버전이나 향후 업데이트에서는 공개되지 않은 기능이 포함될 수 있다."라고 보안 연구원은 설명했다. 리디렉션되는 사이트 중 일부는 위험한 범주에 속하며 감염된 웹 사이트가 드라이브 바이 다운로드를 시작하는 통로 역할을 한다.
[그림2. 해킹된 WordPress의 리디렉션 체인]
여기에는 암호, 쿠키, 브라우저의 자동 완성 데이터, 암호화 지갑과 같은 민감한 데이터를 약탈할 수 있는 Raccoon Stealer로 알려진 정보 탈취 멀웨어를 Discord CDN에서 검색하는 것도 포함된다. 이 조사 결과는 공격자가 Google 검색 결과의 악성 광고를 통해 스틸러와 트로이 목마를 배포하기 위해 다양한 합법적인 소프트웨어에 대한 유사 웹사이트를 만들면서 나온 것이다. 이후 Google은 리디렉션과 관련된 악성 도메인 중 하나를 차단하기 위해 "방문자의 컴퓨터에 원치 않는 또는 악성 소프트웨어"를 설치하는 안전하지 않은 사이트로 분류했다. 이러한 위협을 완화하기 위해 WordPress 사이트 소유자는 암호를 변경하고, 설치된 테마 및 플러그인을 업데이트하고, 개발자가 사용하지 않는 항목을 제거하는 것이 좋다. 출처 https://thehackernews.com/2023/01/over-4500-wordpress-sites-hacked-to.html |
