JSFireTruck 맬웨어

사이버 보안 전문가들은 악성 자바스크립트 삽입을 통해 합법적인 웹사이트를 체계적으로 침해하는 대규모 캠페인에 대해 경각심을 높이고 있습니다. 이 광범위한 공격은 은밀한 수법과 광범위한 활동 범위로 인해 심각한 위협을 초래합니다.

JSFireTruck: 선택의 난독화된 무기

주입된 자바스크립트는 JSFuck이라는 방법을 사용하여 난독화됩니다. JSFuck은 제한된 문자 집합만 사용하는 난해하고 교육적인 자바스크립트 프로그래밍 스타일입니다. 외형과 이름이 조잡하기 때문에 연구자들은 이 변형을 JSFireTruck이라고 불렀습니다. 이 난독화는 [, ], +, $, {, }와 같은 기호를 사용하여 코드의 실제 의도를 숨기므로 분석 및 탐지가 어렵습니다.

악성 코드의 작동 방식

JSFireTruck 코드는 합법적인 웹사이트에 삽입되면 중요한 검사를 수행합니다. 바로 document.referrer를 검사하여 방문자가 접속한 웹페이지의 주소를 알아내는 것입니다. 해당 참조자가 Google, Bing, DuckDuckGo, Yahoo!, AOL과 같은 검색 엔진으로 감지되면 스크립트는 자동으로 사용자를 악성 URL로 리디렉션합니다. 이러한 대상은 악성 코드, 브라우저 익스플로잇, 수익화 트래픽 사기 또는 악성 광고(멀버타이징)를 배포하도록 설계되었습니다.

감염 범위: 269,000개 이상의 웹 페이지가 영향을 받았습니다.

2025년 3월 26일부터 4월 25일까지 연구원들은 JSFireTruck으로 난독화된 자바스크립트에 감염된 269,000개 이상의 웹페이지를 발견했습니다. 이 캠페인은 4월 12일 단 하루 만에 50,000개 이상의 웹페이지가 감염되면서 급격히 증가했습니다.

조직적이고 은밀한: 심각한 사이버 보안 위협

이 캠페인의 규모와 정교함은 신뢰할 수 있는 웹사이트를 더 광범위한 악의적 목적을 위한 공격 플랫폼으로 이용하려는 조직적인 노력을 시사합니다. 공격자는 합법적인 도메인을 침해함으로써 기본적인 보안 필터를 회피할 뿐만 아니라 최종 사용자를 속이고 탐지되지 않은 악성코드를 유포할 가능성을 높입니다. 현재 진행 중인 이 캠페인은 웹 보안에 중대한 위협이며, 경계심이 높은 탐지 및 대응 조치의 필요성을 강조합니다.

진화하는 위협에 맞서 경계를 유지하다

이 캠페인은 신뢰할 수 있는 플랫폼을 악용하여 악성 페이로드를 유포하는 위협 행위자들의 지능화와 지속성이 점차 강화되고 있음을 보여줍니다. 공격자들이 JSFireTruck과 같은 고급 난독화 기법을 사용하는 등 공격 기법을 지속적으로 개선함에 따라, 웹사이트 관리자, 개발자, 사이버 보안 팀은 강력한 보안 관행을 구축하는 것이 필수적입니다. 이러한 은밀한 공격을 방어하기 위해서는 정기적인 코드 감사, 침입 탐지 시스템, 그리고 선제적 위협 인텔리전스가 필수적입니다. 궁극적으로, 점점 더 공격적으로 변하는 디지털 환경에서 우리의 가장 강력한 방어 수단은 경계와 인식입니다.