신용카드 정보 빼가는 새로운 스키머 캠페인, 난독화가 독특해서 봤더니
신용카드 정보 빼가는 새로운 스키머 캠페인, 난독화가 독특해서 봤더니
수주 전 신용카드 정보를 스키밍하는 캠페인이 새롭게 발견됐다. 처음 발견한 건 보안 업체 제이스크램블러(Jscrambler)였다. 이 캠페인에 제이스크램블러가 주목한 건 난독화 기술이 독특했기 때
www.boannews.com
몽골리안스키머 활용한 새로운 캠페인, 영리한 난독화 전략도 도입
몽골리안스키머 활용한 새로운 캠페인, 영리한 난독화 전략도 도입
보안 블로그 시큐리티어페어즈에 의하면 새로운 신용카드 탈취 공격 캠페인이 발견됐다고 한다. 주로 사용되는 도구는 몽골리안스키머(Mongolian Skimmer)다. 흥미로운 건 공격자들이 유니코드 문자
www.boannews.com
- 캠페인 개요
- 보안업체 제이스크램블러(Jscrambler)가 신용카드 정보를 빼돌리는 새로운 스키머 캠페인, 몽골리안스키머 발견
- 공격자는 유니코드 문자를 활용한 독특한 난독화 기술을 사용해 스키머를 감춤
- 실제로는 변수명과 함수명에 특이한 유니코드 문자를 적용한 것으로, 과거 사용된 기법을 재활용한 것에 불과
- 몽골리안스키머 특징
- 전형적인 스키머 기능 포함
- 문서 객체 모델(DOM) 모니터링: 특정 요소 변화 감지
- 데이터 유출: 주요 정보를 외부로 전송
- 개발자 도구 탐지: 분석 회피를 위한 기능 비활성화
- 안티디버깅 기법: 문자열 변환과 정규식 테스트로 디버깅 방지
- 로더 분석: 외부 소스에서 스크립트를 가져오는 인라인 스크립트 사용
- 다양한 브라우저와의 호환성을 갖추고 있으며, 페이지 데이터 수집 및 로더 활용 특징
- 전형적인 스키머 기능 포함
- 분석 시 특이사항
- 스키머의 난독화 기술은 인간 분석자를 혼란스럽게 할 수 있으나, 자동 변환기로 쉽게 분석 가능
- 변수명에 몽골 문자(OE) 유니코드가 사용되어 몽골리안스키머라는 이름이 붙음
- 공격자 간의 대화 발견: 서로 수익을 50:50으로 나누기로 합의한 흔적이 소스코드 내 코멘트로 확인됨
- 보안 시사점
- 난독화된 악성 코드라도 과도한 겁을 먹지 말고 자동화 도구를 활용해 분석 가능
- 사이버 범죄자들 간에도 이해관계에 따른 협력이 이루어질 수 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 국가배후 사이버 공격과 국제적 안보 위협 (2) | 2024.11.19 |
|---|---|
| GitHub와 Telegram 봇, ASCII QR 코드 악용한 새로운 피싱 공격 (1) | 2024.11.18 |
| SASE와 제로 트러스트: 차이점과 비교 (0) | 2024.11.18 |
| 제로 트러스트 역량 검증 방안: 국정원의 MLS 체계 전환과 평가 계획 (1) | 2024.11.18 |
| 개인정보위, 해킹으로 인한 개인정보 유출 사고에 과징금 257억 원 부과 (0) | 2024.11.18 |