블로그 : https://blog.supersu.kr/security/20240503_sungsimdang_naver_phishing_static_analysis

게시글을 읽던 도중 피싱 페이지로 연결된다는 내용을 보고 접속해 보았는데 다음과 같이 내용을 확인했습니다.

블로그에도 해당 내용을 공개했으며, 아래 내용과 동일하게 작성했습니다.

우선 성심당 홈페이지에 접속하면 특정 js 파일을 호출, 그 안에서 php 사이트로 최종 리디렉션이 되는걸 확인했습니다.

위 리디렉션 호출은, PC 나 모바일 상관없이 인젝션된 특정 가구업체 사이트에 취약점 공격으로 js 파일이 첨부되어있고, 이를 성심당 홈페이지에 인젝션 시켜 리디렉션을 시키고 있는것으로 보입니다.

해당 js 파일을 열어서 확인해보면 특정 쿠키값(sdvbdtrwssss=)이 존재하는지를 확인하고, 없으면 12시간 뒤에 만료되는 쿠키 값을 생성 후, UserAgent 가 "msie 7" 이 아니라면 피싱 페이지로 리디렉션 하도록 되어있습니다.

* 이로써 한번 피싱 페이지로 연결되었다가 닫은 후 다시 성심당 사이트에 방문하면 피싱 페이지로 한동안 연결이 안되는 것 입니다.

최종적으로 표시되는 피싱 페이지에서 사용자가 계정 정보를 입력하면, GET Method 로 특정 의류 업체 홈페이지에 있는 php 파일에 매개변수를 선언해 아이디와 비밀번호 값이 유출 됩니다.

해당 사이트는 indexes 가 활성화 되어있는 보안 취약점이 존재하는 페이지로, 특정 pdf 파일에 사용자가 입력한 ID, 비밀번호, IP, 입력시간대가 저장되는 방식으로 되어있습니다.

이로써 악의적인 공격자가 계정 정보를 탈취하여 추가적인 피해가 발생할 수 있습니다.

* 04일 00시 기준으로 성심당 홈페이지에서 인젝션된 소스코드가 빠진걸 보아 담당자가 조치한 걸로 보입니다.

* 05일 20시 이전쯤에 다시 공격이 발생한걸로 추정이 됩니다.

이러한 계정 탈취 패턴은 이미 과거부터 많이 유행하는 방식으로 사용자가 정상적이지 않은 URL 을 인지하여 닫으면 특별하게 문제는 발생하지 않으며, 입력한 정보가 있으시다면 비밀번호 변경, OTP 설정등 강력한 보안 설정을 하는것을 권장합니다.