[데일리시큐]26만 개 사이트 악성코드 감염…HelloTDS 통해 정밀한 리디렉션 공격 이어져

내용 요약

악성 자바스크립트 코드 'JSFireTruck'에 의해 한 달 만에 26만 9천 개 이상의 웹사이트가 감염됨. 팔로알토네트웍스 Unit 42는 이 공격이 탐지를 어렵게 하는 고난이도 난독화 기술인 JSFuck을 기반으로 한다고 경고했으며, [ ] + $ { }와 같은 기호만으로 코드가 구성되어 분석을 어렵게 만듦.

핵심 포인트

• 한 달 만에 26만 9천 개 이상의 웹사이트가 JSFireTruck 악성코드에 감염.
• JSFireTruck은 JSFuck 기반의 난독화 기법 사용.
• [ ] + $ { } 등의 기호만으로 코드 구성, 탐지 어려움.

기술 세부 내용

1️⃣ JSFireTruck

• 26만 9천 개 이상의 웹사이트를 감염시킨 악성 자바스크립트(JS) 코드 공격 캠페인.
• 팔로알토네트웍스(Palo Alto Networks) Unit 42에서 명명.

2️⃣ JSFuck

• JSFireTruck이 기반한 자바스크립트 프로그래밍 기법.
• [ ] + $ { } 와 같은 6개의 문자만을 사용하여 자바스크립트 코드를 작성.
• 일반적인 자바스크립트 코드와 기능적으로 동일한 코드 생성 가능.
• 코드 분석 및 탐지 회피에 악용될 수 있음.

3️⃣ 난독화 (Obfuscation)

• 코드의 가독성을 떨어뜨려 분석을 어렵게 하는 기술.
• 악성코드 제작자가 탐지를 피하고 분석을 방해하기 위해 사용.
• JSFireTruck은 JSFuck을 활용한 고난이도 난독화 기술 적용.

4️⃣ 감염 경로 및 피해

• 뉴스 본문에는 구체적인 감염 경로 및 피해 내용은 언급되지 않음.
• 단기간에 광범위한 웹사이트 감염을 고려할 때, 웹사이트 취약점 공격 또는 공급망 공격 등의 가능성 추정.
• 감염된 웹사이트 방문자 대상 악성코드 유포, 정보 탈취 등의 피해 발생 가능성 존재.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167002