Cascading Redirects: Unmasking a Multi-Site JavaScript Malware Campaign
Cascading Redirects: Unmasking a Multi-Site JavaScript Malware Campaign
Discover how attackers used JavaScript to redirect WordPress site visitors and how you can defend against such threats.
blog.sucuri.net
- 공격 개요
- WordPress 웹사이트 대상 JavaScript 악성코드 삽입 공격 발생
- 방문자를 제3자 악성 웹사이트로 강제 리디렉션시켜 평판 훼손 및 추가 피해 유발
- 최소 31개 웹사이트가 동일 악성코드에 감염, 현재 VirusTotal 블랙리스트 등재
- 공격 프로세스 및 주요 기법
- 최초 감염 경로
- WordPress 테마 파일 내 JavaScript 코드 삽입
- 파일 경로:
./wp-content/themes/astor/public/js/site.js - 삽입된 코드가 비동기(async) 방식으로 외부 스크립트 로딩
- 1차 리디렉션 단계
- 외부 스크립트(awards2today[.]top/jsjs)가 숨겨진 링크(
<a>요소)를 생성하고 자동 클릭 이벤트 유발하여 추가 리디렉션 수행 - "noreferrer" 속성 활용하여 리퍼러(referrer) 정보 은폐
- 외부 스크립트(awards2today[.]top/jsjs)가 숨겨진 링크(
- 2차(최종) 리디렉션 단계
- 최종 목적지(chilsihooveek[.]net)에서 매번 다른 악성 콘텐츠 제공
- 피싱 페이지, Malvertising, 익스플로잇 키트(Exploit Kit), 스캠 페이지 등 사용자 추가 피해 초래
- 최초 감염 경로
- 감염 경로 및 영향 분석
- 공격자는 WordPress 관리자 계정 침해, 플러그인·테마 취약점, 부적절한 파일 권한 설정, 은닉된 PHP 백도어 등 다양한 경로 활용 가능
- 방문자 감소, 사이트 평판 악화 및 검색 엔진(예: 구글) 블랙리스트 등재 위험
- 최종 목적지에서 추가 악성코드 다운로드 및 사용자 민감 정보 탈취 가능성
- 탐지 및 대응 방안
- 웹사이트 내 삽입된 JavaScript 코드 주기적 검사 및 무단 수정 확인
- 브라우저 개발자 도구의 네트워크·소스 탭 활용으로 외부 스크립트 로딩 행위 식별
- 삽입된 코드 즉시 제거 및 파일 무결성 확인 수행
- 결론
- 주기적 보안 감사 및 파일 무결성 모니터링(File Integrity Monitoring) 도입
- 테마 및 플러그인 최신 상태 유지로 취약점 관리 철저
- 관리자 계정 강력한 암호 사용 및 접근 권한 최소화
- 웹 애플리케이션 방화벽(WAF) 구축하여 악성 요청 사전 차단
- 외부 JavaScript 코드 주기적 검토 및 관리 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| GA업계 지점장, 보험설계사 개인정보 해킹 및 재판매 의혹 (0) | 2025.04.12 |
|---|---|
| 무슬림 해킹조직 RipperSec, 한국 정부 사이트 대상 DDoS 공격 실시 (0) | 2025.04.12 |
| Microsoft, 중소기업용 365 E5 Security 추가 기능 출시 (0) | 2025.04.12 |
| CISO를 위한 CTEM(지속적 위협 노출 관리) 도입 필요성과 이점 (0) | 2025.04.12 |
| FIN7·FIN8 등 주요 위협 그룹, Ragnar Loader로 지속 접근 및 랜섬웨어 운영 (0) | 2025.04.12 |