전자 상거래 웹사이트에서 민감한 데이터를 훔치는 데 능숙한 것으로 알려진 악명 높은 사이버 범죄자 그룹인 Magecart가 겉보기에 무해해 보이는 인터넷 요소인 404 오류 페이지를 이용하는 교활한 계획을 공개했습니다. Akamai 보안 인텔리전스 그룹이 발견한 이 혁신적인 전술은 Magecart가 사용하는 세 가지 변종 중 하나이며, 404 오류 페이지의 디지털 심연에 악성 코드를 숨겨 고객의 신용 카드 정보를 은밀하게 훔치는 작업이 포함됩니다.

404 페이지는 어떻게 사이버범죄자들의 놀이터가 되었나요?

Magecart 그룹이 주도한 이 사이버 공격에서 해커는 웹사이트의 404 오류 페이지(웹페이지가 존재하지 않거나 링크가 끊어졌을 때 표시되는 페이지)를 조작합니다. 그들은 겉으로는 무해해 보이는 이 페이지에 악성 코드를 숨겨 의심하지 않는 방문자로부터 신용 카드 정보를 훔칩니다. 숨겨진 코드는 사용자에게 가짜 양식을 제시하여 민감한 신용카드 정보를 입력하도록 유도합니다. 이렇게 훔친 데이터는 무해한 이미지 요청으로 위장하여 은밀하게 해커에게 전송됩니다. 혁신적인 접근 방식은 탐지를 어렵게 만들고 온라인 거래와 사용자 정보를 보호하기 위한 강력한 사이버 보안 조치의 필요성을 강조합니다.

해커들이 신용카드를 훔치기 위해 404 오류 페이지를 사용하기 시작했습니다.
(이미지 제공)

404 오류 페이지를 악용하는 이 Magecart 카드 스키밍 해킹이 실제로 어떻게 작동하는지 자세히 살펴보겠습니다.

You Might Also Like
마케팅 트렌드에 앞서 나가기: 전략 및 팁
마케팅 트렌드에 앞서 나가기: 전략 및 팁
마이 히어로 울트라 럼블 점검 중 서버 상태를 확인하는 방법은 무엇입니까?
마이 히어로 울트라 럼블 점검 중 서버 상태를 확인하는 방법은 무엇입니까?
노키아는 안드로이드 폰의 인터페이스를 변경할 수 있습니다
노키아는 안드로이드 폰의 인터페이스를 변경할 수 있습니다
  • 대상 선택: Magecart 해커의 첫 번째 단계는 주로 Magento 및 WooCommerce와 같은 인기 있는 플랫폼을 기반으로 구축된 전자상거래 웹사이트를 포함하는 대상을 식별하는 것입니다. 이 캠페인의 희생자 중 일부는 식품 및 소매 부문의 저명한 조직이었습니다.
  • 악성코드 은폐: 목표가 선택되면 해커는 혁신적인 기술을 사용합니다. 이들은 웹사이트의 404 오류 페이지를 조작합니다. 이 페이지는 방문자가 존재하지 않거나 이동되었거나 작동하지 않는 링크가 포함된 웹페이지에 액세스하려고 할 때 표시되는 페이지입니다.
  • 눈에 잘 띄는 곳에 숨어 있습니다: Magecart 공격자는 악성 코드를 웹사이트 코드에 직접 삽입하는 대신 404 오류 페이지 내에 숨깁니다. 이 전술은 이전 Magecart 캠페인에서는 볼 수 없었기 때문에 특히 영리합니다. 이를 통해 탐지를 회피할 수 있는 새로운 방법이 생겼습니다.
  • 스키머 로더: 스키머 로더는 공격의 중요한 구성 요소입니다. Meta Pixel 코드 조각으로 나타나거나 손상된 체크아웃 웹페이지의 기존 인라인 스크립트 내에 숨는 등 다양한 위장을 수행할 수 있습니다.
  • 존재하지 않는 리소스를 가져오는 중: 로더는 ‘icons’라는 상대 경로에 대한 가져오기 요청을 시작합니다. 이 경로는 대상 웹사이트에 존재하지 않으므로 “404 찾을 수 없음” 오류가 발생합니다. 언뜻 보면 그것은 순진한 실수나 활동하지 않는 스키머처럼 보일 수 있습니다.
  • HTML 주석으로 가려졌습니다: 그러나 자세히 살펴보면 로더에는 404 오류 페이지의 HTML 내에서 특정 문자열을 검색하는 정규식 일치 항목이 포함되어 있습니다. 이 문자열을 찾으면 HTML 주석 내에 교묘하게 숨겨진 연결된 base64 인코딩 문자열이 표시됩니다.
  • 악성 JavaScript가 공개되었습니다: 이 base64로 인코딩된 문자열을 디코딩하면 모든 404 오류 페이지에 숨겨진 상태로 유지되도록 설계된 JavaScript 스키머가 드러납니다.
  • 숨겨진 데이터 유출: 스키머가 활성화되면 웹사이트 방문자에게 가짜 양식이 표시됩니다. 이 사기성 양식은 사용자에게 신용카드 번호, 만료일, 보안 코드 등 민감한 정보를 입력하라는 메시지를 표시합니다. 피해자가 모르는 사이에 이 데이터를 입력하는 순간 가짜 “세션 시간 초과” 오류가 발생합니다.
  • 데이터 유출: 백그라운드에서 훔친 모든 정보는 base64로 인코딩되어 문자열을 쿼리 매개변수로 전달하는 이미지 요청 URL을 통해 공격자에게 전송됩니다. 이러한 기만적인 접근 방식은 데이터 유출을 무해해 보이는 이미지 가져오기 이벤트로 위장하여 네트워크 트래픽 모니터링 도구가 식별하기 어렵게 만듭니다.
  • 도난당한 정보: 그러나 Base64 문자열을 디코딩하면 공격자는 개인 및 신용 카드 정보에 액세스할 수 있게 되어 잠재적으로 피해자의 신원 도용 및 재정적 손실로 이어질 수 있습니다.
  Cyberpunk 2077의 첫 번째 대규모 업데이트로 인해 게임 진행이 중단됨

이 정교한 공격은 악성 코드를 숨기고 온라인 상점의 보안을 손상시키는 새로운 방법을 지속적으로 찾는 Magecart 해커의 진화하는 전술을 강조합니다. 이는 점점 더 디지털화되는 세상에서 기업과 소비자 모두를 보호하기 위한 강력한 사이버 보안 조치의 필요성과 민감한 정보 보호에 대한 경계 강화의 필요성을 강조합니다.

이에 대한 자세한 내용은 공식 보고서를 참조하세요.

주요 이미지 출처: Erik Mclean/Unsplash

Source: 해커들이 신용카드를 훔치기 위해 404 오류 페이지를 사용하기 시작했습니다.