[최신 IT]해커들이 워드프레스 사이트를 장악하여 악성코드를 배포

해커들이 워드프레스 사이트를 장악하여 악성코드를 배포

최근 c/side의 보안 연구원들은 해커들이 오래된 버전의 워드프레스와 플러그인을 악용하여 다수의 웹사이트를 변조하고, 방문자들에게 악성코드를 다운로드 및 설치하도록 유도하고 있다고 밝혔다. 이번 공격은 현재도 활발히 진행 중이며, 윈도우 및 맥OS 사용자 모두가 주요 표적이 되고 있다.
 

워드프레스 사이트를 통한 대규모 해킹 캠페인

웹 보안 회사 c/side의 창립자이자 CEO인 **사이먼 위크먼스(Simon Wijckmans)**는 해당 공격이 여전히 진행 중이며, 많은 웹사이트가 악성코드 배포에 이용되고 있다고 밝혔다. c/side에 따르면, 해킹된 웹사이트 중 일부는 인터넷에서 상당한 인지도를 가진 인기 웹사이트들도 포함되어 있어 사용자들의 주의가 필요하다.

히만슈 아난드(Himanshu Anand) 연구원은 이 공격이 특정 개인이나 그룹을 목표로 하는 것이 아니라, 무작위로 대량의 사용자들을 감염시키는 "스프레이 앤 페이(Spray and Pay)" 공격 방식을 사용하고 있다고 설명했다.

가짜 크롬 업데이트 페이지로 유인하는 방식

연구원들은 해킹된 워드프레스 사이트가 사용자의 브라우저에서 로드되면, 가짜 크롬 브라우저 업데이트 페이지를 띄우도록 조작되는 것을 발견했다. 이 페이지는 사용자에게 "업데이트를 설치해야 웹사이트를 정상적으로 볼 수 있다"고 속이며, 만약 사용자가 이를 수락하면 운영체제(윈도우 또는 맥OS)에 맞는 악성코드가 다운로드된다.

이와 관련하여 c/side는 워드프레스를 개발 및 배포하는 Automattic에 해당 공격 및 악성 도메인 목록을 전달했으며, Automattic 측에서도 이를 확인했다고 밝혔다. 그러나 Automattic의 공식 대변인은 아직 이에 대한 입장을 발표하지 않았다.

감염된 웹사이트 수와 악성코드 유형

c/side는 현재까지 10,000개 이상의 웹사이트가 이번 공격에 노출된 것으로 추정하고 있으며, 인터넷 크롤링 및 역방향 DNS 조회(reverse DNS lookup) 기법을 이용해 추가적인 악성 도메인들을 발견했다고 밝혔다. TechCrunch는 해당 수치를 독립적으로 검증할 수는 없었지만, 실제로 악성 콘텐츠를 표시하고 있는 해킹된 워드프레스 사이트를 확인했다.

현재 감염된 웹사이트에서 배포되는 주요 악성코드는 다음과 같다.

• Amos (Amos Atomic Stealer): 맥OS 사용자를 대상으로 한 정보 탈취형 악성코드
• SocGholish: 윈도우 사용자를 노리는 악성코드

특히, Amos는 2023년 5월 사이버 보안 회사 SentinelOne이 발표한 보고서에서 **"정보 탈취형 악성코드(Infostealer)"**로 분류되었으며, 사용자의 아이디 및 비밀번호, 세션 쿠키, 암호화폐 지갑 등의 민감한 데이터를 탈취할 수 있는 기능을 갖추고 있다. 또한, 보안 회사 Cyble은 Amos가 텔레그램(Telegram)에서 해커들에게 판매되고 있는 정황을 포착한 바 있다.

사용자 보호를 위한 권장 사항

이 해킹 캠페인은 기술적으로 매우 정교한 공격은 아니지만, 사용자가 가짜 크롬 업데이트 페이지에 속아 악성코드를 설치할 가능성이 크다는 점에서 주의가 필요하다. 사용자는 다음과 같은 보안 조치를 통해 스스로를 보호할 수 있다.

✅ 크롬 업데이트는 반드시 공식 업데이트 기능을 이용하여 진행해야 한다.
✅ 신뢰할 수 있는 출처에서만 앱을 다운로드 및 설치해야 한다. 
✅ 워드프레스 사이트 운영자는 플러그인과 워드프레스 버전을 항상 최신 상태로 유지해야 한다.

시사점

이번 해킹 공격은 특정 대상이 아니라 대규모 사용자들을 노리고 진행되는 광범위한 공격이다. 특히, 패스워드 탈취 악성코드는 과거 대규모 데이터 유출 사건에서도 중요한 역할을 했다. 2024년에는 해커들이 스노우플레이크(Snowflake) 고객사의 직원 PC에서 탈취한 비밀번호를 이용해 대규모 기업 데이터를 유출한 사건도 있었다.

사용자들은 항상 공식적인 경로를 통해 소프트웨어를 업데이트하고, 보안 설정을 강화하는 습관을 들이는 것이 중요하다. 이번 공격을 계기로 보안 의식을 더욱 높이는 것이 필요하다.

🔗 출처: TechCrunch 원문 기사 보기