웹사이트 보안 회사 Sucuri는 지난달 해커들이 약 1,000개의 워드프레스 사이트를 해킹하여 악성 광고와 유튜브 비디오를 통해 암호화폐를 빼내는 행위를 홍보했다고 밝혔습니다. 이들은 원래의 캠페인에 성공하지 못하자, 다른 사이트의 관리자 비밀번호를 무차별 대입 공격하는 도구로 방문자의 웹 브라우저를 전환하기 위해 손상된 사이트에 새로운 스크립트를 배포하기 시작했습니다. 이 공격은 약 1,700개의 무차별 대입 공격 사이트를 포함하며, 이는 에콰도르의 사립 은행 협회 웹사이트와 같은 주요 사례를 포함합니다. 그들의 목표는 충분히 큰 사이트 풀을 구축하여 결국 더 광범위한 캠페인에서 수익을 창출하는 것이었습니다.

사이버보안 연구원 MalwareHunterTeam에 따르면, 위협 요인들은 이제 사이트 풀을 활용하여 가짜 NFT 제안과 암호화폐 할인을 홍보하는 팝업을 표시하기 시작했습니다. 현재 이러한 암호화폐를 빼내는 행위를 표시하는 손상된 사이트의 수는 알려져 있지 않지만, Urlscan 검색에 따르면 지난 7일 동안 2,000개 이상의 손상된 웹사이트가 악성 스크립트를 로드하고 있습니다.

악성 스크립트는 dynamic-linx[.]com 도메인에서 로드되며, 이는 Sucuri가 지난달에 본 것과 동일한 URL입니다. 이 스크립트는 특정 쿠키("haw")를 확인하고, 존재하지 않는 경우 웹페이지에 악성 스크립트를 주입합니다. 이 악성 코드는 임의로 프로모션 팝업을 표시하며, 피해자들에게 유망한 NFT를 발행하거나 웹사이트에서 할인을 받기 위해 지갑을 연결하도록 요구합니다.

요약

- 웹사이트 보안 회사 Sucuri는 해커들이 약 1,000개의 워드프레스 사이트를 해킹하여 암호화폐를 빼내는 행위를 홍보했다고 밝혔다.
- 사이버보안 연구원 MalwareHunterTeam에 따르면, 위협 요인들은 이제 사이트 풀을 활용하여 가짜 NFT 제안과 암호화폐 할인을 홍보하는 팝업을 표시하기 시작했다.
- 악성 스크립트는 dynamic-linx[.]com 도메인에서 로드되며, 이는 Sucuri가 지난달에 본 것과 동일한 URL이다. 이 스크립트는 특정 쿠키("haw")를 확인하고, 존재하지 않는 경우 웹페이지에 악성 스크립트를 주입한다.

Reference

https://www.bleepingcomputer.com/news/security/hackers-deploy-crypto-drainers-on-thousands-of-wordpress-sites/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*