온라인 결제정보를 캡처하는 Magecart JavaScript 공격은 2016년부터 계속되었습니다.

Aite Group이 연구한 Arxan Technologies와 해킹에 대한 새로운 연구를 살펴보겠습니다. 이 연구는 피해자 웹 사이트와 타협에 사용된 전술, 기술 및 절차 사이의 공통점을 조사했습니다. Magecart에 의해 훼손된 서버와 사이트가 어떤 서버로 신용카드 데이터를 전송했는지 추적합니다.

Arxan과 Aite Group은 연방법 집행 기관과 협력하여 80개의 피해자 사이트와 Magecart 해킹 시도를 위해 준비한 사이트를 공개했습니다. Magecart는 특정 도구나 해킹 그룹이 아니라 기술입니다. 인앱 보호 기능이 없는 웹 애플리케이션을 공격하는 데 사용되며, 공격자는 웹 애플리케이션의 JavaScript 또는 HTML5를 일반 텍스트로 쉽게 디버깅하고 읽을 수 있습니다. 웹앱 코드가 이해되면 웹 체크 아웃 양식을 제공하는 대상 서버의 웹 페이지에 악성 JavaScript가 삽입됩니다.

Magecart 공격은 Ticketmaster, Forbes, British Airways 및 Newegg에 성공적으로 사용되었습니다. 수집된 정보는 다크 웹에서 해킹된 카드로 구매한 상품을 발송하는 데 사용되어 수익을 창출합니다.

Arxan의 수석 과학자이자 연구 부서장인 Aaron Lint는 “대부분의 공격은 회사에 효과적으로 작용하는 것입니다. 그러나 이 공격은 브라우저의 클라이언트 인터페이스 지점에서 문제를 일으킵니다. 전자 상거래 플랫폼이 오래되거나 취약한 버전이거나, 공격자가 서버에 코드를 배치할 수 있게 하는 다른 취약점으로 인해 매달 약 4,800개의 사이트가 손상되었습니다. 그리고 타사 구성요소로 구성된 응용 프로그램의 공급망에 의해 공격받았습니다.”

간단한 초기 조사만으로도 전 세계 80개 이상의 전자 상거래 사이트에서 오프 사이트 서버에 신용카드 번호가 Magecart에 의해 해킹되었다는 사실이 발견되었습니다. 80개 사이트에서 가장 일반적인 유사점은 Magento를 사용하는 것인데, 이 모두는 인증되지 않은 업로드 및 원격 코드 실행 취약점에 취약한 이전 버전을 실행하고 있었습니다. 발견된 사이트의 25% 이상이 유명 브랜드였지만, 감지된 80개 사이트 중 변조 감지 및 코드 난독화를 하는 인앱 보호가 구현되지 않았습니다. Lint는 “고객의 손에 기업이 공격받을 수 있다는 것을 인식해야 하며, 오늘날 브라우저에서 발생하는 모든 위협은 조직을 위한 애플리케이션 보안의 일부가 되어야 합니다.”라고 말했습니다.