몽골 스키머는 유니코드를 사용하여 숨깁니다.

사이버 보안 연구원들은 유니코드 난독화 기술을 사용하여 몽고리안 스키머(Mongolian Skimer)라는 스키머를 숨기는 새로운 디지털 스키머 캠페인을 발견했습니다. 악성코드는 악성 기능을 숨기기 위해 식별자에 유니코드 문자를 사용합니다. 몽고리안 스키머의 주요 목표는 금융 정보를 포함해 전자상거래 결제 페이지나 관리 페이지에 입력된 민감한 데이터를 훔치는 것입니다.

도난당한 데이터는 공격자가 제어하는 ​​서버로 전송됩니다. 스키머는 일반적으로 손상된 웹사이트에 인라인 스크립트로 나타납니다. 외부 서버에서 실제 페이로드를 가져옵니다.

또한 이 악성코드는 웹 브라우저의 개발자 도구가 열릴 때 특정 기능을 비활성화하여 분석 및 디버깅 노력을 피하려고 합니다. Jscrambler의 Pedro Fortuna는 “스키머는 잘 알려진 기술을 사용하여 최신 및 기존 이벤트 처리 기술을 모두 사용하여 다양한 브라우저 간의 호환성을 보장합니다. 이는 브라우저 버전에 관계없이 광범위한 사용자를 타겟팅할 수 있음을 보장합니다.”

또한 Jscrambler는 스크롤이나 마우스 움직임과 같은 사용자 상호 작용 이벤트가 감지될 때만 스키머 스크립트를 활성화하는 특이한 로더 변형을 발견했습니다.

이 기술은 봇 감지를 방지하고 스키머가 성능 문제를 일으키지 않도록 하는 데 도움이 될 수 있습니다.

유니코드는 악성 스키머 스크립트를 숨깁니다

몽골리안 스키머를 전달하는 손상된 사이트 중에는 주목할만한 Magento 사이트가 있습니다.

이 사이트는 두 개의 별도 공격자 그룹의 표적이 된 것으로 보입니다. 이들은 소스코드 댓글을 활용해 서로 소통하고 수익을 나누는 데 합의했다. 스키머 악성코드가 어떻게 표적 웹사이트에 전달되는지는 확실하지 않습니다.

그러나 연구원들은 공격자가 잘못 구성되거나 취약한 Magento 또는 Opencart 인스턴스에 초점을 맞추고 있다고 믿고 있습니다. Fortuna는 “우리는 다양한 방법을 사용하여 침해되었을 수 있는 여러 개의 피해자 웹사이트를 가지고 있습니다. 우리는 그들이 어떻게 거기에 도착하여 웹 스키머를 주입할 수 있었는지 정확히 알지 못하지만 모든 징후는 손상된 Magento 또는 Opencart 인스턴스를 가리킵니다. 구성이 잘못되었거나 공격자가 침입하기 위해 악용한 취약한 구성 요소가 있었기 때문입니다. ”

Fortuna는 이 스키머가 사용하는 난독화 기술이 새로운 것이 아니라고 지적했습니다.

그는 “이 스키머에서 발견된 난독화 기술은 새로운 방법처럼 보일 수도 있지만 사실은 아니었다”고 말했다. 더 난독하게 보이도록 오래된 기술을 사용했지만 되돌리기도 쉽습니다.”

이 최신 캠페인은 사이버 범죄자가 더욱 교묘해지고 있으며 계속해서 전자 상거래 플랫폼에 위협을 가하고 있음을 보여줍니다. 웹사이트 소유자는 이러한 공격의 피해자가 되지 않도록 시스템이 적절하게 구성되고 최신 상태인지 확인하는 것이 좋습니다.