보안 기업 멀웨어바이트(Malwarebytes) 연구원들이 신용카드 정보를 탈취하는 해커 조직 메이지카트의 스키밍 공격이 더욱 교묘해지고 있다고 밝혔다.
연구원들에 따르면, 메이지카트(Magecart)는 보안 기업의 해킹 탐지를 피하기 위해 대부분의 작업을 서버 측으로 전환하고 있다.
• 스키밍: 카드 소지자의 허락 없이 카드상의 정보를 전자적으로 복사해 가는 부정 행위
• 메이지카트(Magecart): 신용카드 정보 해킹과 관련된 사이버 공격을 전문으로 하는 수십 개의 하위 그룹으로 구성된 해커 조직
멀웨어바이트 연구원들은 최근 메이지카트가 사용해온 Magecart 인프라에 속하는 도메인 scanalytic[.]org와 js.staticounter[.]net을 발견했다. 두 도메인은 2021년 11월부터 있었던 스키밍 공격과 연결돼 있는 것으로 파악됐다. 추가 도메인의 연결은 공격이 적어도 그전인 2020년 5월부터 있었다는 것을 암시한다.
또한 연구원들은 메이지카트가 자바스크립트 라이브러리의 이름을 딴 스키머를 숨기기 위해 3가지의 위장 코드를 사용하는 것을 관찰했다. 다음은 메이지카트가 사용하는 3가지 코드다.
hal-data[.]org/gre/code.js(각도 JS)
hal-data[.]org/data/(로거)
js.g-livestatic[.]com/theme/main.js(Modernizr)
한편, 연구원들은 메이지카트가 최근 VM 탐지 코드를 제거했는데 이는 아마도 이점보다 문제가 더 많았기 때문일 것이라고 보고 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.