|
해킹된 온라인 상점의 신용 카드 데이터를 JPG 파일로 숨기는 해커 침해사고분석팀 2021.03.17 |
|
|
해커가 의심스러운 트래픽 흔적을 줄이고 탐지를 회피하면서 손상된 온라인 상점에서 결제 카드 데이터를 훔치는 교활한 방법을 고안해냈다.
해커는 카드 정보를 자신이 제어하는 서버로 보내는 대신 JPG 이미지로 숨기고 감염된 웹 사이트에 저장한다. 웹 사이트 보안 회사인 Sucuri의 연구원들은 오픈 소스 Magento 전자 상거래 플랫폼 버전 2를 실행하는 손상된 온라인 상점을 조사할 때 새로운 정보 유출 기술을 발견했다.
이러한 사건은 Magecart 공격이라고도 하며 몇 년 전에 시작되었다.
취약점 또는 악성 코드를 통해 온라인 상점에 액세스해 체크 아웃시 고객 카드 데이터를 훔친다. Sucuri는 해킹된 웹 사이트에서 해커가 getAuthenticates 함수를 생성하고 호출하여 추가 악성 코드를 로드하도록 수정한 PHP 파일을 발견했다.
[그림1. getAuthenticates 함수 코드]
위의 코드는 또한 감염된 저장소의 공용 위치에 생성된 JPG 이미지를 암호화된 형식으로 고객의 결제 카드 데이터를 저장하는데 사용된다.
이를 통해 공격자는 방문자가 웹 사이트에서 단순히 이미지를 다운로드한 것처럼 보이게 만들어 프로세스에서 경보를 트리거하지 않고 정보를 JPG 파일로 쉽게 다운로드 할 수 있었다.
연구원들은 코드를 분석한 결과 악성 코드가 Magento 프레임워크를 사용하여 Customer_파라미터를 통해 전달된 결제 페이지에서 정보를 캡처하는 것으로 확인했다.
카드 데이터를 제공한 고객이 사용자로 로그인한 경우 코드는 이메일 주소도 훔쳤다고 Sucuri는 밝혔다.
연구원들은 결제 페이지에 제출된 거의 모든 데이터가 결제 카드 세부 정보, 전화 번호 및 우편 주소를 포함하는 Customer_파라미터에 있다고 말한다.  [그림2. 저장된 정보]
위의 모든 정보는 해커가 직접 또는 데이터를 구매하는 다른 당사자가 신용 카드 사기에 사용하거나 보다 표적화된 피싱 및 스팸 캠페인을 배포하는 데 사용할 수 있습니다.
Sucuri는 이 방법이 감염 여부를 확인할 때 웹 사이트 소유자가 놓칠만큼 충분히 은밀하다고 말한다.
그러나 무결성 제어 검사 및 웹 사이트 모니터링 서비스는 코드 수정 또는 추가되는 새 파일과 같은 변경 사항을 감지 할 수 있어야했었다.
출처 https://www.bleepingcomputer.com/news/security/hackers-hide-credit-card-data-from-compromised-stores-in-jpg-file/ https://blog.sucuri.net/2021/03/magento-2-php-credit-card-skimmer-saves-to-jpg.html |
