해커들, 카리타스 자선 사이트를 표적으로 삼다

주요 카톨릭 자선단체인 ‘카리타스 스페인’의 17개 웹사이트가 사이버 공격을 받아, 기부자들의 카드 정보가 1년 이상도 감지되지 않은 채 노출되었습니다.

공격자들은 사용자로부터 민감한 정보를 훔치기 위해 웹 스키밍이라는 방법을 사용했습니다. 이 방법은 악성 코드가 웹사이트에 삽입되어 사용되는 것입니다. 이 경우, 스키머는 실제 기부 양식을 모방한 가짜 기부 양식을 만들어 이름, 주소, 카드 번호, CVV 등 개인 및 결제 정보를 무음으로 캡처했습니다.

“이 캠페인은 보다 넓은 추세를 강화시키는데, 그것은 웹 스김(웹 훔치기) 감염이 점점 더 모듈식 키트에 의해 이끌어지고 있다는 것입니다,”라고 Jscrambler의 연구원들이 글에 적었습니다. 이 키트들은 해커들이 다양한 도구와 채널을 쉽게 조합하여 도난당한 데이터를 전송하고 수집하게 해줍니다.

연구원들은 감염된 웹사이트들이 모두 WooCommerce라는 인기 있는 플러그인에 의해 작동되었다고 말합니다. 이 플러그인은 워드프레스에서 온라인 결제를 제공합니다. 이 공격은 두 부분으로 이루어졌습니다: 먼저, 사이트 홈페이지에 숨겨진 작은 코드 조각이 해커의 서버에 연락하도록 주입되었습니다.

그 후, 두 번째 단계 스크립트는 실제 버튼 위에 가짜 ‘계속’ 버튼을 추가했습니다. 사용자들이 이를 클릭하면, 산탄데르 은행의 공식 결제 게이트웨이처럼 보이도록 디자인된 가짜 온라인 결제 양식이 나타났습니다.

데이터를 캡처한 후, 이 양식은 잠시 로딩 스피너를 보여준 뒤 기부자를 합법적인 결제 사이트로 리디렉션해 이 사기를 더 어렵게 발견하게 만들었습니다.

“대상을 고려할 때 특히 우려스럽다”라고 Jscrambler는 지적했습니다. “카리타스는 취약한 공동체를 돕는 비영리 단체입니다. 그럼에도 불구하고, 공격자들은 그들의 스캐밍 작업을 […] 1년 이상 계속 진행하는 데 만족했습니다.”

감염은 처음으로 2025년 3월 16일에 발견되었고, Jscrambler의 연락 후에 결국 영향을 받은 웹사이트들은 4월 초에 유지보수를 위해 오프라인 상태로 전환되었습니다.

4월 11일에 드디어 악성 코드가 제거되었습니다. 그러나 그 사이 해커들은 전략을 바꾸어 스크립트를 변경하여 탐지를 피했습니다.

연구자들은 이 그룹이 60개가 넘는 가짜 도메인을 사용하여 다른 웹사이트를 대상으로 데이터를 분배하고 수집했다는 증거를 발견했습니다. 이 중 많은 것들이 동일한 IP 아래에 호스팅되어 있어, 중앙 집중식 구성을 가리키고 있습니다. Jscrambler는 Caritas가 이 침해 사건에 대한 공식적인 입장을 아직 발표하지 않았다고 보고하고 있습니다.