IBM의 보안팀은 2023년 3월에 등장한 새로운 악성코드 캠페인이 JavaScript 웹 주입을 사용하여 북미, 남미, 유럽, 일본의 40개 은행의 5만명 이상의 사용자들의 은행 데이터를 도난하려고 시도했다고 발견했습니다. 이 공격은 공격자의 서버에서 로드된 스크립트를 통해 펼쳐졌으며, 이는 많은 은행들에서 공통적으로 발견되는 특정 페이지 구조를 대상으로 사용자의 인증 정보와 일회용 비밀번호(OTP)를 가로채는 것이었습니다. 이 정보를 획득함으로써 공격자들은 피해자의 은행 계좌에 로그인하고, 보안 설정을 변경하여 피해자를 제외시키고, 무단 거래를 수행할 수 있었습니다.

공격은 피해자의 장치에 초기 악성코드 감염으로 시작되었습니다. 피해자가 공격자의 손상된 또는 악의적인 사이트를 방문하면, 악성코드는 새로운 스크립트 태그를 주입하고, 이 태그는 외부에서 호스팅되는 스크립트를 가리키는 소스('src') 속성을 가지고 있습니다. 이 악성 스크립트는 피해자의 브라우저에 로드되어 웹페이지의 내용을 수정하고, 로그인 정보를 캡처하고, 일회용 패스코드(OTP)를 가로챕니다.

이 새로운 접근 방식은 공격을 더 은밀하게 만들며, 정적 분석 검사는 단순한 로더 스크립트를 악성으로 표시할 가능성이 적지만 여전히 동적 콘텐츠 전달을 허용하므로, 공격자들이 필요한 경우 새로운 두 번째 단계 페이로드로 전환할 수 있게 합니다. 또한, 이 악성 스크립트는 합법적인 JavaScript 콘텐츠 전달 네트워크(CDN)와 유사하게 보이며, cdnjs[.]com 및 unpkg[.]com과 같은 도메인을 사용하여 탐지를 피합니다.

요약

- 2023년 3월에 등장한 새로운 악성코드 캠페인이 4개 대륙의 40개 은행의 5만명 이상의 사용자들의 은행 데이터를 도난하려고 시도했다.
- 공격은 피해자의 장치에 초기 악성코드 감염으로 시작되었으며, 피해자가 공격자의 손상된 또는 악의적인 사이트를 방문하면, 악성코드는 새로운 스크립트 태그를 주입한다.
- 이 새로운 접근 방식은 공격을 더 은밀하게 만들며, 정적 분석 검사는 단순한 로더 스크립트를 악성으로 표시할 가능성이 적다.
- 악성 스크립트는 합법적인 JavaScript 콘텐츠 전달 네트워크(CDN)와 유사하게 보이며, cdnjs[.]com 및 unpkg[.]com과 같은 도메인을 사용하여 탐지를 피한다.
- IBM은 이 캠페인이 여전히 진행 중이므로, 온라인 은행 포털과 앱을 사용할 때 더욱 주의를 기울여야 한다고 조언한다.

Reference

https://www.bleepingcomputer.com/news/security/new-web-injections-campaign-steals-banking-data-from-50-000-people/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*