연구자들, 워드프레스 사이트에서 결제 정보를 빼돌리는 은밀한 악성 소프트웨어에 대해 경고

사이버보안 연구원들은 Sucuri에서 워드프레스 e-commerce 사이트를 대상으로한 새로운 유형의 사이버 공격에 대해 웹사이트 소유주들에게 경고하고 있습니다.

이 공격은 신용 카드 스캠 방식으로 알려져 있으며, 고객들의 결제 정보를 비밀리에 훔치도록 설계되었습니다. 이 악성 프로그램은 백그라운드에서 동작하여, WordPress 웹사이트의 데이터베이스에 악성 코드를 주입하고, 고객들이 결제 정보를 입력하는 체크아웃 페이지를 침해합니다.

이 악성 소프트웨어는 특히 교묘합니다. 왜냐하면 일반적으로 악성 코드를 검색하는 테마 파일이나 플러그인에 감염시키는 것에 의존하지 않기 때문입니다. 대신, 데이터베이스 안에 숨어 있어서 감지하기가 더 어렵습니다.

구체적으로 말하자면, 이 악성 코드는 Sucuri에서 지적한 것처럼 워드프레스 설정의 중요한 부분인 “wp_options” 테이블에 내장되어 있습니다. 이로 인해 일반 보안 도구에 의해 탐지되는 것을 피하고, 감염된 사이트에서 불필요한 방해를 받지 않고 남아있을 수 있습니다.

악성 코드가 활성화되면, 사용자들이 신용카드 번호, 만료일, CVV 코드를 입력하는 결제 페이지를 대상으로 합니다. 이 악성 코드는 웹 주소에서 “checkout”이라는 단어를 찾아 결제 페이지에서만 작동하도록 보장하며, 사이트의 다른 부분에서 작동되는 것을 방지합니다.

이 코드는 가짜 결제 양식을 추가하거나 기존의 것을 빼앗아, 사용자들이 Stripe와 같은 합법적인 결제 처리기의 양식에 상세 정보를 입력하는 것처럼 보이게 만듭니다.

고객들이 신용카드 정보를 입력하면, 악성 소프트웨어가 실시간으로 이를 포착합니다. 훔친 데이터를 감지하기 어렵게 만들기 위해, 이 악성 소프트웨어는 인코딩과 암호화 기술을 사용하여 정보를 혼란스럽게 만든 후, 공격자가 통제하는 원격 서버로 보냅니다.

이 과정은 조용히 진행되므로 고객들은 구매를 완료하는 동안 이상한 점을 눈치채지 못할 것입니다. 그 다음에는 훔친 데이터가 지하 시장에서 팔리거나, 부정 거래에 사용되어 고객과 기업 모두에게 위험을 초래합니다.

이 공격이 특히 위험한 이유는 구매 과정을 방해하지 않고 작동하기 때문이며, 사용자들은 자신의 정보가 훔쳐지고 있다는 사실을 알지 못합니다.

연구자들은 웹사이트 소유자들이 ‘위젯’ 섹션을 특히 확인하여, 워드프레스 관리 패널에서 의심스러운 코드를 정기적으로 확인함으로써 자신들을 보호할 수 있다고 말합니다. 그들은 악성 소프트웨어의 존재를 암시할 수 있는 익숙하지 않은 자바스크립트 코드를 찾아봐야 합니다.