본문 바로가기

벌새::Analysis

인터파크(InterPark) 쇼핑몰에 삽입된 네이버(Naver) 피싱 코드 (2016.7.26)

728x90
반응형

최근 악성코드 감염을 통한 DB 서버 해킹을 통해 1,000만건 이상의 개인정보 탈취를 통해 30억원에 상당의 비트코인(Bitcoin)을 요구하는 협박을 받은 인터파크(InterPark) 인터넷 쇼핑몰의 보안 문제가 화두입니다.

 

 

그런데 2016년 7월 10일 전후로 인터파크(InterPark) 상품 판매 게시글 일부에 네이버(Naver) 계정 탈취를 목적으로 삽입된 JavaScript 코드가 삽입되어 있는 부분이 확인되고 있습니다.

 

 

네이버(Naver) 계정 정보 수집 목적으로 제작된 네이버 로그인 피싱(Phishing) 정보는 2013년경부터 블로그를 통해서도 꾸준하게 언급하고 있으며 이번에 확인된 인터파크(InterPark) 사례를 통해 자동화된 코드 삽입이 이루어지는 것으로 보입니다.

 

확인된 상품 판매 게시글에서는 제목 영역에 "src=h**p://admin.******tour.co.kr/boss/log/3.js/" 코드가 포함되어 있으며 자동화된 프로그램을 통해 보안 취약점이 존재하는 게시판을 노린 것으로 추정됩니다.

 

 

3.js 스크립트 파일을 확인해보면 adfwedfa34rsfsfadfadfadf= 쿠키(Cookie)값을 지정하여 재접속을 체크하며, 국내 특정 웹 서버로 연결이 이루어지도록 구성되어 있습니다.

 

h**p://stlab.**culture.org/upload/content/login.php

 

연결된 가짜 네이버 로그인 피싱(Phishing) 페이지는 사용자 아이디(ID)와 비밀번호 입력을 통해 로그인 폼을 제공하고 있으며, URL 주소를 제대로 확인하지 않은 상태에서는 진짜와 가짜를 판별하기 매우 어렵습니다.

 

 

참고로 해당 네이버 로그인 피싱(Phishing) 페이지 접속 카운터(Counter) 체크를 목적으로 중국(China)에서 운영하는 51Yes.com 코드가 포함되어 있습니다.

 

접속자가 의심없이 네이버(Naver) 아이디(ID)와 비밀번호를 입력하여 로그인을 시도할 경우 입력된 정보는 또 다른 국내 웹 서버로 전송되는 것을 확인할 수 있습니다.

 

그러므로 인터넷 상에서 네이버(Naver) 서비스가 아닌 곳에서 로그인 페이지로 연결되거나 이미 로그인 상태에서 재로그인을 요구하는 페이지가 생성될 경우에는 반드시 웹 브라우저의 주소창을 확인하시기 바랍니다.

 

또한 인터파크(InterPark) 인터넷 쇼핑몰의 경우에도 외부에서 자동화된 코드 삽입 공격에 상품 게시판이 취약한 것으로 보이므로 보안 점검이 필요해 보입니다.

728x90
반응형