새롭게 발견된 웹 스키밍 악성코드는 손상된 온라인 상점에 결제 카드 스키머 스크립트를 삽입하기 위해 눈에 잘 띄지 않는 곳에 잘 숨을 수 있다.
이 악성코드의 제작자들은 페이스북, 트위터, 인스타그램과 같은 유명 프로필의 플랫폼을 모방하는 소셜 미디어 버튼으로 숨겨져 있는 악성 페이로드를 사용한다.
신용카드 스키머는 Magecart 사이버범죄그룹이 손상된 전자상거래 사이트의 체크아웃 페이지에 주입한 자바스크립트 기반 스크립트다.
일단 대상 매장에 로드되면 스크립트는 고객이 제출한 결제 및 개인정보를 자동으로 수집해 Magecart 행위자의 통제 하에 서버로 유출시킨다.
Novel security scanner evasion tactic
이 새로운 악성코드는 전자상거래 웹사이트를 디지털 스키밍(일명 Magecart) 공격으로부터 보호하는 데 초점을 두고 있는 네덜란드 사이버 보안 회사 Sansec의 연구원들에 의해 발견되었다.
결제 스키머 악성코드는 고객의 신용카드를 도용하는 스키머 스크립트의 소스 코드가 HTML 'svg' 요소로 로드된 소셜 공유 아이콘에 숨겨지는 이중 페이로드 구조의 도움으로 속임수를 사용한다.
스키머의 소스 코드를 소셜 미디어 버튼으로 숨기기 위한 구문은 소셜 미디어 플랫폼 이름(예: facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full 및 google_full)을 사용하여 명명된 'svg' 요소를 완벽하게 모방한다.
[그림1. 악성 페이로드]
전자상거래 사이트 서버 어딘가에 별도로 배치된 별도의 디코더를 이용해 숨겨진 신용카드 도용자의 코드를 추출하고 실행한다.
이 전술은 악성코드 로더가 반드시 스키머 페이로드와 같은 위치에 저장되지 않고 그 진정한 목적이 피상적인 분석을 회피할 수 있기 때문에 두 가지 멀웨어 구성요소 중 하나가 발견되더라도 탐지를 회피할 가능성을 높인다.
비록 위협 행위자들이 steganography의 도움으로 겉으로 보기에 이미지만 숨겨져 있는 스키머를 사용한 것은 이번이 처음은 아니지만, 이 악성코드는 "완전히 유효한 이미지"를 사용한 최초의 악성코드다.
Sansec은 "결과적으로 보안 스캐너는 더 이상 유효한 구문을 테스트한다고 해서 악성코드를 찾을 수 없다"고 설명했다.
[그림2. 악성코드 디코더]
The summer test runs
이 혁신적인 적재 기술을 사용한 유사한 악성코드가 2020년 6월에 처음 발견되었다.
Sansec은 "이 악성코드는 정교하지 않았고 단 하루에만 9개 사이트에서 탐지됐다"고 말했다.
"이 9개의 감염된 사이트 중 기능성 악성코드가 있는 사이트는 1개뿐이었습니다. 나머지 8개 사이트는 모두 두 구성 요소 중 하나를 놓쳐 악성코드를 무용지물로 만들었다."
부분적으로 작동되는 결제 스키머 샘플은 9월 중순에 발견된 완전히 기능하는 버전에 대한 테스트 실행으로 사용되었을 수 있다고 Sansec은 말했다.
출처
https://www.bleepingcomputer.com/news/security/credit-card-stealing-malware-hides-in-social-media-sharing-icons/
