2019.02.28 신용카드 노리는 극성 범죄자들, 구글 애널리틱스와 앵귤러 흉내

1. 기사 요약

Google Analytics나 Angular의 JavaScript 파일인 척 하여 교묘하게 감시자의 눈을 피하는 방법을 사용한다. 주로 피해가 발생하는 곳은 마젠토(Magento)로 구축된 사이트들이다. 이러한 JavaScript 구성요소들이 동작할 때 정상적인 작업이 진행되는 것처럼 보이도록 한다.

이 가짜 JS 스크립트들이 마젠토 DB에 주입된다. 대부분 행이 보기 좋게 나눠져 있지 않고, 길고 거대한 코드 한줄로 들어가나 침해된 사이트들 마다 복호화 키나 암호화 URL이 다르다.

angular.io, algularToken, angularCdn, angularPages 등 앵귤러와 관련이 깊어 보이는 키워드들이 다양하게 등장하기에 눈으로 알아보기 쉽지 않다.

원본	변조링크
www.google-analytics.com/analytics.js	www.google-analytics.cm/analytics.js
https://www.googletagmanager.com/gtm.js	https://www.gooqletagmanager.com/gtm.js

:: 워드프레스(WordPress)나 줌라(Joomla), 비트릭스(Bitrix) 사이트들도 영향권 아래에 있다.

해결방법??

관리자들 및 운영자들이 코드 추가 현황을 면밀히 살펴야 한다. 구글 애널리틱스와 앵귤러를 앞세운 스크립트가 새롭게 추가될 때 한글자 한글자 살피는 것이 중요하다.

2. 이모저모

* Google Analytics: 구글에서 무료로 제공하는 웹 로그 분석 서비스

* Angular: Single Page Application 프레임워크이다.

  페이지가 브라우저에 로드된 이후부터 데이터만 변경하여 사용하는 웹어플리케이션 개발 프레임워크

눈으로 일일히 확인하는건 불가능에 가깝다고 본다.

리눅스라면 crontab과 Hash를 사용하여 소스코드의 변조 여부를 주기적으로 확인하는 방법을 쓰면 늦게나마 비교적 빠르게 발견하는 것이 가능할 듯 하다.