보안정보

글로벌 정보보안 리더 윈스
BrowserWordPress

해킹된 WordPress 사이트가 방문자의 브라우저를 사용하여 다른 사이트를 해킹

분석팀 2024.03.07

Passwords

 

 

해커들이 방문자의 브라우저가 다른 사이트의 비밀번호를 무차별 대입하도록 강제하는 스크립트를 삽입하기 위해 WordPress 사이트에 대한 광범위한 공격을 수행하고 있다.

 

이 캠페인은 웹 사이트 사이버 보안 회사에 의해 처음 발견되었다.

 

회사는 암호화폐 지갑 드레이너 스크립트를 삽입하기 위해 사이트를 침해하는 것으로 알려진 위협 행위자를 추적해 왔다.

 

암호화폐 지갑 드레이너는 누군가 지갑을 연결할 때 모든 암호화폐와 자산을 훔치는 악성 스크립트이다.

 

사람들이 이러한 손상된 사이트를 방문하면 스크립트는 사용자가 지갑을 사이트에 연결하도록 유도하는 잘못된 메시지를 표시하며, 일단 그렇게 하면 스크립트는 포함된 모든 자산을 훔친다.

 

이러한 스크립트는 위협 행위자가 지갑을 빼내는 가짜 Web3 사이트를 만드는 등 지난 몇 년 동안 매우 보편화되었다.

 

그런 다음 X 계정을 해킹하고 YouTube 동영상을 제작하거나 Google 및 X 광고를 꺼내 사이트를 홍보하고 방문자의 암호화폐를 훔친다.

 

회사의 연구원들은 위협 행위자들이 손상된 WordPress 사이트를 침해하여 여러 URL에서 여러 웨이브로 AngelDrainer 지갑 드레이너를 주입하고 있다고 보고했다.

 

마지막 URL은 'dynamiclink[.]lol/cachingjs/turboturbo[.]js'이다.

 

2월 말, 위협 행위자는 지갑을 빼내는 방식에서 방문자의 브라우저를 하이재킹하여 다른 WordPress 사이트에 무차별 공격을 가하는 방식으로 전환했다.

 

새로 등록된 도메인 'dynamic-linx[.]com/chx.js'의 악성 스크립트를 사용한다.

 

회사의 새로운 보고서에 따르면, 위협 행위자는 손상된 WordPress 사이트를 사용하여 방문자의 브라우저가 다른 웹사이트의 계정 자격 증명에 대해 무차별 대입 공격을 수행하도록 하는 스크립트를 로드하고 있다.

 

무차별 공격은 위협 행위자가 올바른 비밀번호를 추측하기 위해 다른 비밀번호를 사용하여 계정에 로그인을 시도하는 것이다.

 

자격 증명을 사용하여 위협 행위자는 데이터를 훔치거나, 악성 스크립트를 삽입하거나, 사이트의 파일을 암호화할 수 있다.

 

이 해킹 캠페인의 일환으로 위협 행위자는 WordPress 사이트를 손상시켜 HTML 템플릿에 악성 코드를 삽입한다.

 

방문자가 웹사이트에 액세스하면 스크립트는 https://dynamic-linx[.]com/chx.js에서 브라우저에 로드된다.

 

이 스크립트는 브라우저가 'https://dynamic-linx[.]com/getTask.php'에 있는 위협 행위자의 서버에 조용히 접속하여 비밀번호 무차별 대입 작업을 수신하도록 한다.

 

이 작업은 ID, 웹사이트 URL, 계정 이름, 현재 통과해야 할 비밀번호 배치를 나타내는 숫자, 시도할 비밀번호 100개 등 무차별 공격에 대한 매개변수가 포함된 JSON 파일 형식으로 제공된다.

 

 

Example bruteforce JSON task

 

[그림1. 무차별 JSON 작업 예시]

 

 

작업이 수신되면 스크립트는 방문자의 브라우저가 JSON 데이터의 계정 이름과 비밀번호를 사용하여 WordPress 사이트의 XMLRPC 인터페이스를 사용하여 조용히 파일을 업로드하도록 한다.

 

비밀번호가 정확하면 스크립트는 사이트에서 비밀번호가 발견되었음을 위협 행위자의 서버에 알린다.

 

그런 다음 해커는 사이트에 연결하여 base64로 인코딩된 사용자 이름과 비밀번호 쌍이 포함된 업로드된 파일을 검색할 수 있다.

 

 

Script causing browser to bruteforce a website's credentials

 

[그림2. 브라우저가 웹 사이트의 자격 증명을 무차별 대입하도록 하는 스크립트]

 

 

페이지가 열려 있는 한 악성 스크립트는 웹 브라우저가 반복적으로 공격자의 서버에 다시 연결하고 실행할 새 작업을 검색하도록 한다.

 

HTML 소스 코드 검색 엔진 PublicHTML에 따르면 현재 이러한 스크립트나 해당 로더로 해킹된 사이트가 1,700개 이상이며, 이로 인해 자신도 모르게 분산된 무차별 군대에 징집될 대규모 사용자 풀이 제공된다.

 

다른 보안 회사 연구원은 에콰도르 민간 은행 협회의 웹사이트가 이 캠페인으로 인해 손상되어 의심하지 않는 방문자를 위한 물웅덩이 역할을 한다는 사실을 발견했다.

 

위협 행위자가 암호화폐 지갑 드레이너 주입에서 다른 사이트 무차별 공격으로 전환한 이유는 확실하지 않다.

 

그러나 회사는 암호화폐 유출 공격과 같은 더 큰 규모의 추가 공격을 시작할 수 있는 보다 광범위한 사이트 포트폴리오를 구축할 것이라고 믿는다.

 

연구원은 "아마도 그들은 감염 규모(약 1000개의 손상된 사이트)에서 암호화폐 드레이너가 아직 수익성이 좋지 않다는 것을 깨달았을 것이다."라고 결론지었다.

 

또한 "게다가 그들은 너무 많은 관심을 끌고 도메인이 매우 빨리 차단된다. 따라서 페이로드를 보다 은밀한 것으로 전환하는 동시에 향후 발생할 수 있는 감염 물결에 대비해 손상된 사이트의 포트폴리오를 늘리는 데 도움이 될 수 있다. 어떤 식으로든 수익을 창출할 수 있다."라고 언급했다.

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hacked-wordpress-sites-use-visitors-browsers-to-hack-other-sites/

목록