최근에 발견된 다중 플랫폼 신용카드 스키머는 Shopify, BigCommerce, Zencart 및 Woocommerce에서 제공하는 손상된 매장에서 결제 정보를 수집할 수 있다.
일반적으로 단일 유형의 전자상거래 플랫폼을 대상으로 하는 이 새로운 유형의 웹 스키밍 멀웨어는 악의적인 체크아웃 페이지를 삽입하여 여러 온라인 상점 관리 시스템을 사용하는 상점에서 체크아웃 프로세스를 장악할 수 있다.
Displays errors as distraction
이 새로운 스키머(Magecart 스크립트라고도 함)는 네덜란드 사이버 보안 회사인 Sansec의 연구원들이 발견한 것처럼 Shopify와 BigCommerce와 같은 호스팅된 전자상거래 시스템이 사용자 지정 체크아웃 페이지 스크립트에 대한 지원을 제공하지 않더라도 악용될 수 있다.
고객이 실제 체크아웃 양식에 도착하기 전에 가짜 결제 페이지를 표시하고, 결제 및 개인정보를 가로채기 위해 키 로거를 사용하는 방식이다.
또한, 스키머는 탐지를 회피하며 고객들이 "Proceed" 버튼을 눌러 신용카드 정보를 제출하도록 하고, 어떠한 경보 알림도 올리지 않고 오류를 발생시켜 합법적인 체크아웃 절차와 결제 양식으로 리다이렉션 한다.
[그림1. 가짜 결제 양식 (출처:Sansec)]
Sansec은 "동일한 캠페인에서 서로 다른 수많은 플랫폼이 손상된 것은 주목할 만하다"라고 말했다.
"일반적으로 범죄자들은 단일 플랫폼의 결함을 이용한다. 공격자는 소프트웨어나 영향을 받는 모든 상점에서 사용하는 공유 구성 요소를 위반했을 수 있다."
[그림2. 스키머 오류 (출처:Sansec)]
Campaign active since August 2020
이 스키머가 사용하는 또 다른 흥미로운 기술은 카운터를 기반으로 자동으로 생성된 도메인으로 데이터를 추출하고 base64 인코딩을 사용하여 인코딩하는 방법이다. (이러한 도메인의 예로는 zg9tylubmftzw5ldze[.com, zg9tywlbmftz5ldze[a] 등이 있다.)
또한 프로그래밍 방식으로 생성된 첫 번째 유출 도메인이 2020년 8월 31일에 처음 등록되었다는 점을 감안할 때, 이는 또한 Magecart 캠페인이 얼마나 오랫동안 실행됐는지에 대한 힌트를 제공한다.
Sansec은 "요약하자면, 이 캠페인은 플랫폼이 온라인 스키밍의 수익성있는 사기 행위 대한 경계가 아니라는 것을 보여주며, 고객이 결제 세부 정보를 입력하는 곳마다 위험에 노출되어 있다."라고 덧붙였다.
[그림3. 해킹된 상점에 업로드된 악성코드 (출처:Sansec)]
지난 몇 달 동안 Sansec 연구원들은 해킹당한 상점에서 탐지를 회피하고 지속성을 확보하기 위해 혁신적인 전략을 사용한 여러 Magecart 캠페인을 발견했다.
예를 들어, 들키지 않기 위해 CSS 코드를 사용하여 눈에 잘 띄지 않는 신용카드 도용 스크립트, SVG 소셜 미디어 버튼으로 위장할 수 있는 웹 스키밍 악성 프로그램, 그리고 영구적인 백도어를 번들로 묶은 신용카드 도용자를 제거하는 것은 거의 불가능하다는 것을 발견했다.
또한 Magecart 위협 행위자들이 해킹당한 온라인 상점의 서버에 대한 접근을 유지하고, 유지하기 위해 사용하는 은밀한 원격 액세스 트로이 목마 악성 프로그램을 발견했다.
그러나 감염된 온라인 상점에 RAT를 로드하는 데 사용된 악성코드 드로퍼는 실수로 수십 개의 손상된 상점의 목록에 빈을 유출했다.
출처
https://www.bleepingcomputer.com/news/security/multi-platform-card-skimmer-found-on-shopify-bigcommerce-stores/
