워드프레스 이커머스 사이트에서 발견된 신종 카드 스키머 및 백도어 악성코드 분석

Credit Card Skimmer and Backdoor on WordPress E-commerce Site

Credit Card Skimmer and Backdoor on WordPress E-commerce Site

 

• 공격 개요
  • 워드프레스 기반 WooCommerce 이커머스 사이트에서 다단계 악성코드 감염 사례 발생
  • 발견된 위협 요소는 다음과 같이 구성
    • 신용카드 정보 탈취용 자바스크립트 스키머
    • 숨겨진 PHP 백도어 파일 관리자
    • API 기반 탐지 우회 및 감염 상태 확인 스크립트
  • 공격자는 장기적 서버 제어와 금융 정보 탈취를 동시에 목적으로 함
• 악성코드 구성 요소
  • PHP 기반 백도어
    • 쿠키 기반 인증으로 관리자에게만 표시
    • 전체 파일 시스템 접근 및 업로드, 삭제, 수정 기능
    • 디렉터리 이동 및 타임스탬프 조작 기능 포함
    • 워드프레스 핵심 파일처럼 위장하여 탐지를 회피
  • 자바스크립트 기반 신용카드 스키머
    • Checkout 페이지에만 활성화되는 이벤트 리스너 포함
    • 결제 필드 모니터링을 통해 카드번호, 만료일, CVC 등 입력값 수집
    • 이미지 요청 위장 방식으로 imageresizefix[.]com에 정보 전송
    • 디버깅 탐지 및 개발자 도구 차단 기능 포함
  • API 기반 탐지 및 상태 점검 스크립트
    • 관리자 ID 탐지 및 감염 여부 확인
    • 서버 정보 수집 및 설치 상태 분석
    • 공격 지속 여부 판단 및 자동화된 재감염에 활용 가능
• 공격자의 동기 및 의도
  • 금융 데이터 탈취를 통한 직접적인 금전 이익 확보
  • 백도어를 통한 장기적인 서버 장악 및 재감염 가능성 확보
  • 다른 공격자에게 플랫폼을 제공하거나 추가 공격의 거점으로 활용
  • 조직적인 범죄 그룹에 의한 전문적 해킹 시도 가능성 제기
• 감염 영향 및 피해 사례
  • 고객의 카드정보 유출로 인한 직접적인 피해 및 신용도 하락
  • 사이트 운영자에게는 신뢰도 하락, 고객 이탈, 평판 손실
  • PCI DSS 기준 위반으로 법적 문제 또는 거래 중단 가능성
  • 관리자 권한 탈취를 통한 사이트 변조, 데이터 유실 가능
  • 스팸 콘텐츠 삽입 등으로 인해 SEO 순위 하락
• 감염지표(Indicators of Compromise)
  • 악성 IP
    • 104.194.151.47
    • 185.247.224.241
  • 악성 도메인
    • imageresizefix[.]com
    • imageinthebox[.]com
  • 주요 URL 예시
    • https://imageresizefix[.]com/pixel_info/img-sort.php?validator=ENCODED_DATA
• 보안 권고
  • 악성코드 즉시 제거: 모든 악성 스크립트 및 백도어 파일 제거
  • 관리자 및 DB 계정 비밀번호 변경
  • 파일 무결성 모니터링 도입으로 변경 탐지 자동화
  • WAF(Web Application Firewall) 배포로 악성 요청 차단
  • 플러그인 및 테마 최신 상태 유지
  • 결제 모듈 보안 설정 검토 및 강화
  • 이중 인증(2FA) 및 최소 권한 원칙 적용
  • 정기적인 보안 점검 및 취약점 분석 실시
  • Sucuri와 같은 보안 솔루션 도입 시 악성코드 시그니처 업데이트 적용
• 결론
  • 이번 사례는 금융정보 탈취, 서버 장악, 탐지 회피 기술을 결합한 고도화된 복합 공격임
  • 이커머스 운영자는 결제 과정 및 관리자 영역에 대한 철저한 보안 점검과 방어 체계 구축이 필요
  • 위협 인텔리전스 공유와 정기적 보안 훈련을 통해 선제적 대응 체계 강화가 필요