워드프레스 전자상거래 사이트를 노리는 고도화된 카드 스키머 캠페인

고도로 ‘은밀해진’ 카드 스키머 캠페인, 온라인 쇼핑몰 노려

고도로 ‘은밀해진’ 카드 스키머 캠페인, 온라인 쇼핑몰 노려

 

Credit Card Skimmer campaign targets WordPress via database injection

Credit Card Skimmer campaign targets WordPress via database injection

 

• 공격 개요
  • 카드 스키머(Credit Card Skimmer): 결제 페이지에 악성 코드를 삽입해 신용카드 정보를 탈취하는 악성코드
  • Sucuri가 발견한 캠페인: 워드프레스 기반 전자상거래 사이트의 데이터베이스(wp_options 테이블)를 악용하여 은밀히 활동
• 공격 방식
  • 데이터베이스 주입
    • wp_options 테이블의 widget_block에 난독화된 자바스크립트 삽입
    • 파일 기반 멀웨어가 아닌 데이터베이스 주입으로 파일 스캔 탐지 우회
  • URL 조건부 활성화
    • URL에 "checkout" 포함 여부를 확인하고 "cart"는 제외
    • 결제가 진행되는 페이지에서만 악성코드가 작동하여 민감 정보 탈취
  • 가짜 결제 양식 생성
    • Stripe 등 합법적인 결제 프로세서를 모방한 양식을 동적으로 생성
    • 기존 결제 양식이 있는 경우 실시간으로 입력 데이터를 가로채기
  • 데이터 탈취 및 암호화
    • 탈취 데이터: 카드 번호, CVV, 청구 정보 등
    • Base64 및 AES-CBC로 암호화 후 공격자가 제어하는 서버로 전송
    • 데이터 전송에 navigator.sendBeacon 사용으로 은밀하게 작동
• 공격의 특징
  • 은밀성 극대화
    • 악성코드를 플러그인이나 테마 대신 데이터베이스에 삽입
    • 시스템 리소스를 소모하지 않아 탐지 어려움
  • 결제 정보 전용 타겟팅
    • 사용자 결제 준비 단계에서만 활성화되도록 설계
• 피해 영향
  • 피해자는 신용카드 정보가 다크웹 판매 또는 금융 사기에 악용될 가능성
  • 스키머 정보를 구매한 공격자는 추가 공격(예: 구독 서비스 가입, 물품 구매) 수행 가능
• 보안 권고
  • 탐지 및 제거 방법
    • 워드프레스 관리자 패널(wp-admin > Appearance > Widgets)에서 Custom HTML 블록을 점검하여 의심스러운 <script> 태그 제거
    • Sucuri의 SiteCheck와 같은 멀웨어 탐지 도구 활용
  • 예방 조치
    • 정기 업데이트: 워드프레스, 플러그인, 테마 최신 버전 유지
    • 관리자 계정 보안: 강력한 비밀번호 사용 및 다단계 인증(2FA) 적용
    • 무결성 검사: 중요한 사이트 파일의 무결성 정기 점검
    • HTTPS 활성화: 데이터 전송 시 암호화 강화
  • 전문 보안 솔루션 사용
    • AI 기반 탐지 시스템(FDS) 및 자동화된 위협 대응 솔루션 도입
• 결론
  • 스키머 캠페인은 점점 더 은밀하고 정교해져 전통적인 탐지 방법을 우회
  • 전자상거래 사이트 운영자는 사전 예방적 보안 조치와 전문 도구를 활용해 고객 정보를 보호해야 함
  • 결제 페이지 보안 강화를 통해 고객 신뢰와 사이트 평판을 유지하는 것이 중요