다중 라이센스 할인 견적
위협 데이터베이스 불량 웹사이트 웹 스키밍 공격 캠페인

웹 스키밍 공격 캠페인

불량 웹사이트년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 2022년 1월부터 지속적으로 활동해 온 대규모 웹 스키밍 공격을 발견했습니다. 이 공격은 아메리칸 익스프레스, 다이너스 클럽, 디스커버, JCB, 마스터카드, 유니온페이 등 주요 결제 네트워크를 사용하는 기업들을 표적으로 삼고 있습니다. 특히 이러한 결제 서비스를 온라인 결제 시스템에 통합한 기업들이 가장 높은 위험에 노출된 것으로 평가되었습니다.

디지털 스키밍과 Magecart의 진화

디지털 스키밍 공격은 공격자가 합법적인 전자상거래 사이트 및 결제 포털에 악성 자바스크립트를 삽입하는 클라이언트 측 침해의 한 형태입니다. 삽입된 코드는 고객이 결제 정보를 입력하는 동안 신용 카드 데이터와 개인 정보를 몰래 수집합니다.

이러한 활동은 일반적으로 '매지카트(Magecart)'라고 알려진 더 넓은 범주에 속합니다. 이 용어는 원래 마젠토(Magento) 기반 전자상거래 사이트를 표적으로 삼는 사이버 범죄 집단을 느슨하게 지칭하는 것이었지만, 이후 다양한 플랫폼과 기술에 걸친 카드 정보 탈취 행위를 포괄하는 개념으로 확장되었습니다.

제재 회피와 연관된 인프라

해당 캠페인은 제재 대상인 방탄 호스팅 제공업체 스타크 인더스트리(Stark Industries)와 관련된 의심스러운 도메인에 대한 조사 과정에서 발견되었습니다. 스타크 인더스트리의 모회사인 PQ.Hosting은 제재를 회피하기 위해 서비스 브랜드를 THE.Hosting으로 변경했으며, 현재는 네덜란드 법인인 WorkTitans BV가 운영하고 있습니다.

도메인 cdn-cookie(dot)com에서 'recorder.js' 및 'tab-gtm.js'와 같이 심하게 난독화된 JavaScript 파일이 발견되었습니다. 이러한 스크립트는 해킹된 온라인 쇼핑몰에 삽입되어 은밀한 신용카드 정보 탈취를 가능하게 했습니다.

자기 파괴와 환경 인식을 통한 은밀성

이 스키머는 사이트 관리자의 탐지를 적극적으로 회피하도록 설계되었습니다. 워드프레스 관리자 또는 권한 있는 사용자가 로그인했을 때 표시되는 툴바 요소인 'wpadminbar'의 존재 여부를 문서 객체 모델(DOM)에서 검사합니다. 이 요소가 감지되면 악성 프로그램은 즉시 자체 삭제 루틴을 실행하여 페이지에서 스스로를 삭제합니다.

일반적인 브라우징 중에 지속성을 유지하기 위해 스키머는 페이지의 DOM이 변경될 때마다 실행을 시도하는데, 이는 최신 웹사이트에서 사용자 상호 작용 중에 흔히 발생하는 현상입니다.

인터페이스 조작을 통해 Stripe를 무기화하기

악성 코드는 Stripe 기반 결제 흐름을 악용하도록 설계된 특정 로직을 포함하고 있습니다. Stripe가 선택되면 스키머는 'wc_cart_hash'라는 이름의 localStorage 항목을 확인합니다. 해당 값이 존재하지 않으면 키를 생성하고 데이터 수집을 준비합니다.

이 시점에서 악성 프로그램은 정상적인 Stripe 결제 양식을 가짜 양식으로 바꿔치기합니다. 미묘한 인터페이스 조작을 통해 피해자는 가짜 양식에 카드 번호, 유효 기간 및 CVC를 입력하도록 속게 됩니다.

제출 후 페이지는 오류 메시지를 표시하여 악의적인 방해가 아닌 잘못된 정보로 인해 결제가 실패한 것처럼 보이게 합니다.

데이터 도난, 유출 및 복구

도난당한 정보는 결제 카드 정보뿐만 아니라 성명, 전화번호, 이메일 주소, 배송 주소까지 포함합니다. 스키밍 프로그램은 HTTP POST 요청을 통해 이 데이터를 lasorie(dot)com으로 전송합니다.

데이터 유출 과정이 완료되면 악성 프로그램은 가짜 양식을 제거하고 정상적인 Stripe 인터페이스를 복원하며 결제 페이지에서 활동 흔적을 모두 삭제합니다. 그런 다음 'wc_cart_hash' 값을 'true'로 설정하여 동일한 피해자에 대해 스키밍 프로그램이 다시 실행되지 않도록 합니다.

심층적인 플랫폼 지식을 기반으로 구축된 공격 체인

연구원들은 공격자가 워드프레스 내부 구조에 대한 고도의 이해도를 보이며, 공격 과정에서 잘 알려지지 않은 플랫폼 기능까지 활용하는 것을 확인했다고 지적합니다. 이러한 깊이 있는 지식과 정교한 회피 및 인터페이스 조작 기술은 해당 공격의 성숙도와 지속성을 보여줍니다.

트렌드

CVE-2025-68668 n8n 취약점

취약성
사이버 보안 연구원들이 인기 있는 오픈 소스 워크플로 자동화 플랫폼인 n8n에서 심각한 새 취약점을 발견했습니다. 이 결함으로 인해 인증된 공격자가 해당 서버에서 임의의 운영 체제 명령을 실행할 수 있으며, 잠재적으로 시스템 전체를 장악할 수 있습니다. 해당 문제는 CVE-2025-68668로 추적되며, CVSS 점수는 9.9로 매우 심각한 수준에 속합니다. 이는 보호 메커니즘 오류로 분류됩니다. 누가 위험에 처해 있으며 왜 중요한가? 이 취약점은 n8n 버전 1.0.0부터 2.0.0(2.0.0 제외)까지 영향을 미칩니다. 워크플로를 생성하거나 수정할 권한이 있는 인증된 사용자는 이 취약점을 악용하여 n8n 프로세스와 동일한 권한으로 시스템 수준 명령을 실행할 수 있습니다. 이 취약점은 Pyodide를...

Asyl 랜섬웨어

랜섬웨어
악성 소프트웨어 위협은 복잡성과 영향력 면에서 지속적으로 진화하여 개인 사용자뿐 아니라 조직에도 상당한 위험을 초래하고 있습니다. 특히 랜섬웨어는 귀중한 데이터를 순식간에 접근 불가능한 자산으로 만들고, 운영을 마비시키며, 금전적·정신적 스트레스를 유발할 수 있습니다. 기기 보호는 더 이상 선택 사항이 아니라, 점점 더 적대적인 위협 환경 속에서...

MgBot 백도어

백도어, 지능형 지속 위협(APT)
중국과 연계된 정교한 고도 지속적 위협(APT) 작전이 장기간에 걸친 사이버 스파이 활동의 일환으로 밝혀졌으며, 이 작전은 도메인 이름 시스템(DNS) 인프라를 악용하여 MgBot 백도어를 유포했습니다. 이 작전은 터키, 중국, 인도의 특정 지역을 집중적으로 공격했으며, 2022년 11월부터 2024년 11월까지 활동했습니다. 작전의 배후에 있는 적...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
45,530
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
34,536
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,512
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
로드 중...