웹마스터 주의! WordPress 스키머가 데이터베이스 테이블을 악용해 결제 정보를 훔칩니다.

사이버 보안 전문가들은 WordPress 웹사이트를 표적으로 삼는 은밀하고 정교한 신용카드 스키밍 캠페인을 밝혀냈습니다. 이러한 스키머는 데이터베이스 테이블에 악성 JavaScript를 내장함으로써 기존의 탐지 방법을 우회하여 민감한 결제 정보를 훔칩니다. 이 놀라운 위협은 사이버 범죄자들이 전자 상거래 플랫폼을 악용하기 위해 사용하는 진화하는 전술을 강조합니다.

스키밍 맬웨어의 작동 방식

웹마스터는 항상 해로운 JavaScript를 조심해야 합니다. 이 스키머 악용은 레이더에 잡히지 않을 수 있기 때문입니다. 스키머는 "widget_block" 옵션 아래의 wp_options 테이블에 악성 JavaScript를 주입하여 WordPress 전자상거래 웹사이트를 표적으로 삼습니다. 이 방법을 사용하면 맬웨어가 눈에 띄지 않게 숨어 대부분의 보안 도구에서 감지되지 않습니다. 일단 내장되면 맬웨어는 WordPress의 관리 인터페이스를 이용하여 해로운 JavaScript를 HTML 블록 위젯에 주입합니다.

체크아웃 페이지에서 활성화

스키밍 스크립트는 다음과 같은 경우 체크아웃 페이지에서만 활성화됩니다.

1. 기존 결제 필드를 하이재킹합니다 . 합법적인 필드를 수정하여 결제 데이터를 가로챕니다.
2. 가짜 신용카드 양식 삽입 – Stripe와 같은 실제 프로세서를 모방하는 결제 양식을 동적으로 생성합니다.

이러한 가짜 양식은 신용카드 번호, CVV, 청구 정보와 같은 민감한 세부 정보를 수집합니다. 또는 스크립트는 합법적인 지불 양식을 모니터링하여 실시간으로 입력된 데이터를 훔칠 수 있습니다.

난독화 및 침출

도난당한 데이터는 탐지되지 않도록 인코딩 및 암호화됩니다.

• Base64 인코딩 : 데이터를 무해해 보이는 형식으로 변환합니다.
• AES-CBC 암호화 : 분석을 회피하기 위해 보안 계층을 추가합니다.
• 데이터 전송 : 인코딩된 정보를 valhafather[.]xyz 또는 fqbe23[.]xyz 와 같은 공격자가 제어하는 서버로 전송합니다.

더 광범위한 기만 캠페인

이 공격은 JavaScript 맬웨어를 사용하여 가짜 결제 양식을 동적으로 만들거나 합법적인 체크아웃 필드에서 데이터를 추출하는 것을 포함하여 유사한 스키밍 시도를 따릅니다. 그 경우 데이터는 원격 서버로 전송되기 전에 JSON 및 XOR 메서드를 사용하여 암호화되었습니다.

추가 공격 벡터

이러한 캠페인의 정교함은 WordPress를 넘어 확장됩니다.

• PayPal 피싱 이메일 : 위협 행위자는 합법적인 PayPal 주소에서 이메일을 보내 사용자가 로그인하도록 속여 계정을 공격자가 제어하는 배포 목록에 연결하도록 합니다.
• 암호화폐 지갑 악용 : 사이버범죄자들은 Web3 지갑 거래 시뮬레이션 기능을 악용하여 가짜 분산 앱(DApp)을 설치하고 실행 단계에서 지갑을 비웁니다.

귀하의 웹사이트와 고객 보호

이러한 위협으로부터 WordPress 전자상거래 사이트를 보호하려면:

1. 정기적으로 데이터베이스 테이블 감사 : wp_options 테이블과 알 수 없는 항목에 집중합니다.
2. WordPress 업데이트 및 패치 : 취약점을 완화하기 위해 모든 플러그인과 테마가 최신 상태인지 확인하세요.
3. 웹 애플리케이션 방화벽(WAF) 구현 : 악성 스크립트가 데이터베이스에 도달하기 전에 차단합니다.
4. 비정상적인 관리자 패널 활동을 모니터링하세요 . 위젯과 HTML 블록의 변경 사항에 주의하세요.
5. 사용자 교육 : 고객에게 가짜 결제 양식과 피싱 이메일의 위험에 대해 경고합니다.

WordPress 웹사이트를 타겟으로 하는 신용카드 스키머의 진화는 견고한 사이버보안 관행의 중요성을 강조합니다. 악성 코드를 데이터베이스 테이블에 직접 내장함으로써 이러한 캠페인은 감지하기 어렵고 민감한 데이터를 훔치는 데 더 효과적입니다. 웹사이트 소유자는 플랫폼 보안에 계속 경계하고 적극적으로 나서야 비즈니스와 고객을 점점 더 정교해지는 이러한 위협으로부터 보호해야 합니다.