10,000개의 워드프레스 사이트가 맬웨어를 퍼뜨리기 위해 해킹당했습니다

10,000개가 넘는 워드프레스 웹사이트가 윈도우와 맥OS 사용자를 대상으로 한 악성 소프트웨어를 배포하기 위해 해킹당했다는 사실이 이번 주 c/side의 보안 연구원들에 의해 밝혀졌습니다.

공격자들은 오래된 워드프레스 사이트에 악성 자바스크립트를 주입하여, 방문자들이 해로운 소프트웨어를 설치하는 가짜 브라우저 업데이트를 다운로드하도록 속였습니다.

이 캠페인의 배후에 있는 사이버 범죄자들은 취약한 워드프레스 사이트에 악성 자바스크립트를 주입했습니다. 방문자가 감염된 페이지에 접속하면, 그들의 브라우저는 보이지 않는 프레임 안에 가짜 업데이트 알림을 로드합니다. 사용자가 이른바 업데이트를 다운로드하고 설치하면, 그들은 모르게 자신의 디바이스에 악성 코드를 감염시키게 됩니다.

이 방법은 이전의 전략에서 변화를 보여주는데, 이는 AMOS와 SocGholish가 클라이언트 사이드 공격을 통해 전달되는 첫 번째 알려진 사례입니다. 사용자를 별도의 악성 사이트로 리디렉션하는 대신, 악성 코드는 그들의 브라우저 세션에 직접 주입됩니다.

AMOS 악성 코드는 Mac 사용자들의 민감한 데이터를 훔치도록 설계되었으며, 비밀번호, 신용카드 정보, 암호화폐 지갑 등이 그 대상입니다. 이 악성 코드는 해커 포럼과 텔레그램 채널에서 판매되어, 사이버 범죄자들이 쉽게 접근할 수 있습니다.

Windows 사용자를 대상으로 하는 SocGholish는 종종 랜섬웨어나 키로거와 같은 추가적인 악성 코드를 설치하는 데 사용됩니다. 이는 합법적인 소프트웨어 업데이트로 가장하여 사용자들을 속입니다.

해커들은 아마도 오래된 플러그인과 테마를 악용하여 이러한 워드프레스 사이트에 접근했을 것입니다. 많은 웹사이트들이 클라이언트 측 공격에 대한 활성 모니터링을 하지 않아, 악성 스크립트는 긴 기간 동안 감지되지 않았습니다.

보안 전문가들은 공격에 연루된 몇몇 의심스러운 도메인을 확인했는데, 이에는 **blackshelter[.]org**과 **blacksaltys[.]com**이 포함되어 있었으며, 이들은 사용자를 악성 소프트웨어를 호스팅하는 사이트로 리디렉션했습니다. 또한 악성 스크립트는 널리 사용되는 콘텐츠 전송 네트워크에서도 발견되었으며, 이것은 감지를 더욱 어렵게 만들었습니다.

안전을 위해 웹사이트 소유자들은 자신의 워드프레스 설치판과 플러그인을 업데이트하고, 이상한 스크립트를 확인하며, 의심스러운 파일들을 제거하라는 권고가 나왔습니다. 감염된 사이트로부터 파일을 다운로드 받았을 수 있는 사용자들은 전체 시스템을 스캔하고, 자신의 기기에 악성 소프트웨어가 있는지 확인해야 합니다.

이번 캠페인은 사이버 범죄자들이 웹사이트의 취약점을 이용하여 사용자에게 악성 소프트웨어를 감염시키는 점점 더 커지는 위협을 강조하고 있습니다. 보안 연구원들은 이 공격을 계속 모니터링하고 있으며, 더 많은 감염된 웹사이트들이 여전히 감염을 퍼트릴 수 있다고 경고하고 있습니다.