Embedded Files
게시일: 2020. 1. 14 오전 11:45:32
호주 산불 사태 피해자 위한 성금 사이트에 메이지카트 침투
| 입력 : 2020-01-14 11:45
[이미지 = iclickart]
메이지카트는 각종 전자상거래 사이트에 침투해 결재 페이지에 악성 자바스크립트 코드를 주입해 신용카드 정보나 지불에 필요한 모든 정보들을 가로채 자신들이 제어하는 서버로 전송하는 수법으로 수많은 사건을 일으켜 온 그룹이다.
이런 그들이 호주에서 발생한 산불 사태의 피해자들을 돕기 위해 마련된 웹사이트를 침해한 것을 제일 먼저 발견한 건 보안 업체 멀웨어바이츠(Malwarebytes)다. 사이트 자체는 정말로 피해자들을 돕기 위해 개설된 것이었으나, 메이지카트로 인해 선의의 기부자들이 피해자로 전락했다.
메이지카트의 특성 상 기부자들 중 일부나 특정 인물을 표적으로 삼아 공격을 했을 가능성은 높지 않아 보인다고 한다. “하지만 수많은 기부자들이 전혀 의도치 않은 피해를 입었고, 추가 피해 발생 가능성도 적지 않습니다.”
해당 기부 사이트에 심겨진 스크립트는 ‘스키머’로 분류되며, 이름은 ATMZOW라고 한다. 결재 페이지에서 발견됐다. “기부자가 이 사이트로 들어와 지불과 관련된 정보를 입력하고, 이에 대한 처리 절차를 결재 페이지에서 밟을 경우, 악성 스크립트가 입력된 정보를 훔치고 vamberlo.com이라는 도메인으로 전송합니다. 이 도메인 정보는 난독화 되어 있었습니다.”
멀웨어바이츠의 제롬 세구라(Jerome Segura)는 “이와 같은 사실을 파악한 후 문제의 vamberlo.com 도메인이 폐쇄되도록 공식 절차를 진행했다”고 하며, “현재는 해당 도메인이 셧다운 된 상태”라고 말한다. 즉, 기부 사이트에서 기부를 진행해도 정보가 새나가지 않는다는 것이다.
그러나 스키머 코드가 사이트에서 제거된 건 아니다. 따라서 공격자가 코드를 살짝 편집해 도메인을 바꾼다면 다시 정보가 새나갈 수 있다. “위협이 완전히 사라진 건 아닙니다. 도메인 폐쇄는 임시 조치일 뿐입니다.” 이에 멀웨어바이츠는 사이트 운영자에 연락해 이러한 사실을 알렸으나 아직은 아무런 대답이 없는 상황이다.
보안 업체 배드 패키츠(Bad Packets)의 트로이 머슈(Troy Mursch)는 “퍼블릭WWW(PublicWWW)라는 도구를 사용해 같은 스크립트가 현재 39개 웹사이트에 심겨져 있고 활발히 활용되고 있다는 것을 알아냈다”고 추가로 밝히기도 했다. 하지만 해당 사이트의 스크립트들이 같은 도메인을 통해 정보를 수집하는지는 아직 확인되지 않았다.
“만약 이 스크립트들 전부가 vamberlo.com 도메인과 연결되어 있었다면, 아마 지금 전부 정상 기능을 멈춘 상태일 겁니다. 물론 위에서 말했듯 메이지카트가 스크립트를 따로 변경했다면 작동 중일 것이고요.”
ㅇㅇ
3줄 요약
1. 전 세계적으로 화제가 되었던 호주 산불 사태.
2. 피해자들을 위한 성금 사이트에 메이지카트 난입해 스키머 코드 심음.
3. 기부자들의 지불 정보가 전부 메이지카트로 넘어감.
========================
현재 국제적으로 많은 사람들의 이목을 받고 있는 호주 산불이라는 역대급 재난을 위해 기부를 진행하는 사이트를 자신들의 개인적인 이익을 위해 악용하는 모습을 보며, 이러한 행태를 막기 위해서라도 보안적 요소를 철저히 하여 좋은 취지의 캠페인이 악용되는 사태를 막아야한다는 생각을 했다.
Page updated
Google Sites
Report abuse