전자상거래 결제 정보 탈취 악성코드, `<img>` 태그를 이용한 공격

Kant Jo 2025. 2. 27. 12:05

Cybercriminals Embedded Credit Card Stealer Script Within Tag

Cybersecurity researchers have uncovered a new MageCart malware campaign targeting e-commerce websites running on the Magento platform.

gbhackers.com

공격 개요
- MageCart 악성코드 캠페인이 전자상거래 사이트를 공격
- Magento 플랫폼 기반 결제 페이지를 대상으로 신용카드 정보 탈취
- <img> 태그에 Base64 인코딩된 악성 JavaScript 삽입
- 보안 솔루션을 우회하여 결제 정보(카드 번호, 유효기간, CVV 코드) 탈취
브라우저 신뢰 악용 기법
- <img> 태그는 일반적으로 신뢰받는 요소로 간주됨
- Base64로 인코딩된 악성 스크립트를 <img> 태그에 삽입
- onerror 이벤트 핸들러를 활용하여 JavaScript 실행
- 악성 스크립트가 결제 페이지에서만 작동하도록 설계
- 보안 탐지를 피하기 위해 동적 폼 주입 방식 사용
악성 코드 동작 방식
- Base64로 인코딩된 스크립트를 디코딩하여 악성 코드 실행
- 결제 페이지에서 실행될 경우, magictrick() 함수 활성화
- 사용자 결제 정보(카드 번호, CVV, 유효기간)를 수집하여 외부 서버로 전송
- 공격자 제어 서버(wellfacing[.]com)로 탈취한 데이터 전달
- 탐지 회피를 위해 입력 필드 데이터 유효성 검사 후 실행
보안 위협 및 피해
- 사용자 신용카드 정보 탈취로 인한 금융 사기 발생 가능
- 전자상거래 사이트 신뢰도 하락 및 기업의 법적 책임 증가
- 보안 규정(GDPR, PCI-DSS) 위반 시 법적 제재 가능
- 탐지 회피 및 재삽입 기능으로 지속적인 감염 위험 존재
보안 권고
- 웹사이트 소프트웨어 및 보안 패치 정기적 적용
- 웹 애플리케이션 방화벽(WAF) 설정 강화 및 악성 활동 탐지
- 관리자 계정 강력한 비밀번호 설정 및 다중 인증(2FA) 적용
- 결제 페이지에 대한 정기적인 보안 감사 및 코드 무결성 점검

저작자표시 비영리 변경금지 (새창열림)