<Magecart 해킹그룹>

보안이 취약한 결제사이트에서 XSS방법을 이용 신용카드 정보를 해킹하는 전문 해커집단.

지난 9월 British Airline,Ticketmaster(공연예매 사이트), Newegg(컴퓨터하드웨어,소프트웨어 온라인몰), Feedify(클라우드 서비스 제공),

Shopper Approved(온라인스토어의 리뷰검색 소프트웨어)공격을 주도한 것으로 알려짐(공격에 사용된 코드가 매우 유사함)


<공격방법>

Magecart멀웨어와 함께 자바스크립트 코드를 고객 후기 작성란에 삽입함. 

코드는 목표 사이트에 맞게 커스터마이징을 하여 특정 페이지에만 삽입하여 효율성을 높임. 

이 22라인의 코드는 결제자가 '결제하기' 버튼을 누르면 결제자의 정보를 저장해 공격자 서버로 전송함.

공격자들은 공격을 위장하기 위해 유로 서버 SSL 인증서를 사용하기도 함.


<공격대상>

공격대상을 대형 웹사이트에서 유명한 온라인몰 익스텐션 소프트웨어의 취약점 공격으로 전환.

PHP의 unserialize() 함수를 이용해 DB혹은 자바스크립트 파일을 조작하는 공격을 하는 것으로 추정.

위의 공격이 성공할 시 공격 웹사이트에 커스터마이징한 자바스크립트 결제섹션을 삽입함.

사용자가 신용카드 정보를 입력하고 '제출' 버튼을 누르는 즉시 가짜 결제폼은 사라짐.

코드는 2단계 결제 추출 방법을 사용한 것으로 밝혀짐.


*마젠토는 PHP기반 오픈소스 e커머스 플랫폼 (https://magento.com)

현재 많은 수의 확장프로그램을 존재하며, 다수의 PHP Object Injection(POI)취약점(약23개)을 발견한 것으로 보임.

(취약점 패치는 확장프로그램 개인 개발자의 역량이 달려있으며, 사용자는 확장프로그램의 취약여부를 인지하지 못한 상태)


출처 :  https://www.securityweek.com/magecart-hackers-now-targeting-vulnerable-magento-extensions
 
   https://threatpost.com/magecart-cybergang-targets-0days-in-third-party-magento-extensions/138547/

Magecart그룹정보 : https://www.computerworlduk.com/security/magecart-who-what-is-behind-british-airways-attack-3683768/


저작자표시 비영리 변경금지

'Incident Report' 카테고리의 다른 글

[2018.11.07] 파키스탄, 해킹으로 8000명 계좌의 돈 사라져  (0) 2019.03.08
[2018.11.07] 해커 그레이웨어, 가짜 로그인 페이지 활용 텔레그램, 인스타그램 사용 이란인 목표 공격  (0) 2019.03.08
[2019.10.19] 한국 노린 사이버 정찰 캠페인, 오션설트 발견  (0) 2019.03.05
[2018.10.16] Octopus Trojan 중앙아시아 외교기관 타겟 공격  (0) 2019.03.05
[2018.10.15] 공식 Adobe Flash Update 이용한 모네로 봇 공격  (0) 2019.03.05

+ Recent posts

티스토리툴바