우리가 흔히 방문하는 웹사이트들 중 일부가 매우 조용하고 교묘한 방식으로 공격당했다는 사실이 밝혀졌습니다. 이름도 생소한 ‘JSFireTruck’이라는 악성 자바스크립트 캠페인이 전 세계적으로 확산된 것입니다. 겉보기에는 평범해 보이는 웹페이지에 숨어 있다가, 특정 조건에 따라 사용자를 위험한 곳으로 몰아넣는 방식이 사용되었습니다.
[] + $ { } 만으로 구성된 코드?
이 공격은 ‘JSFuck’이라는 특이한 자바스크립트 표현기법을 기반으로 만들어졌는데, JSFuck은 알파벳이나 숫자 없이도 코드를 작성할 수 있게 하는 기법으로, [, ], +, {, $ 등 특수문자만을 사용한다고 합니다. 일반적인 보안 솔루션이나 분석 도구로는 이 코드를 쉽게 이해하거나 탐지하기 어렵게 만들기 위해서입니다. 말 그대로, 해커들 입장에서는 ‘안 들키고 몰래 들어가기’에 딱 좋은 방식인 셈입니다.
어떻게 작동했을까요?
이 악성코드는 웹사이트 방문자의 document.referrer, 즉 이전 방문 기록을 분석합니다. 만약 사용자가 구글 등 검색엔진을 통해 유입되었을 경우에는, 사용자를 곧바로 악성 페이지로 이동시킵니다.
문제는 이 방식이 너무나도 자동화되고 은밀하다는 점입니다. 팔로알토네트웍스의 분석에 따르면, 단 하루 동안에만 5만 건 넘는 웹페이지가 감염되었고, 한 달 사이에는 26만 개가 넘는 웹사이트가 피해를 입었다고 합니다.
단순한 코드 삽입이 아니었습니다
이 공격의 배후에는 ‘HelloTDS’라는 시스템이 작동하고 있었습니다. HelloTDS는 사용자의 환경 정보를 분석하여 누구에게 어떤 악성 사이트를 보여줄지 결정합니다. 예를 들어 사용자의 IP, 브라우저 정보, VPN 사용 여부 등을 실시간으로 파악합니다. 만약 보안 연구자일 가능성이 있다면 아무 일도 일어나지 않습니다. 반대로 일반 사용자라면?
- 가짜 CAPTCHA 페이지
- 브라우저 업데이트 알림
- 암호화폐 투자 사기
등의 페이지로 이동되어 클릭을 유도하고, 클릭과 함께 ‘PEAKLIGHT’나 ‘Lumma’ 같은 악성코드가 설치됩니다. 이로 인해 로그인 정보나 금융 정보 등이 유출될 수 있습니다. 이러한 악성코드는 ‘드라이브 바이 다운로드(Drive by download)’ 공격 방법으로 얼마든지 내 장치에 은밀하게 설치될 수 있습니다.
- PEAKLIGHT: 사용자의 브라우저 데이터를 탈취하거나 백도어 설치
- Lumma: 비밀번호, 쿠키, 암호화폐 지갑 정보 등을 빼내는 정보 탈취형 악성코드
그리고, 해커들은 단순히 한 도메인만 사용하지 않았고 .com, .shop, .top 등 다양한 도메인을 순환시키며 공격했고, 암호화된 통신과 무해해 보이는 콘텐츠를 섞어 탐지를 어렵게 만들었습니다.
블랙쏘세지로 링크를 안전하게 보세요.
JSFireTruck과 HelloTDS 같은 공격은 대부분 사용자가 광고나 낯선 팝업을 클릭했을 때 시작됩니다. 원격 브라우저 격리(RBI) 기술을 사용하여, 스마트폰에서 수상한 링크를 열더라도 내 장치에서는 아무런 코드도 실행되지 않습니다.
‘보는 것’만 가능하게 하여 감염을 원천 차단하는 것입니다. 안전하게. 블랙쏘세지로 링크를 보세요.
'보안 > 팁' 카테고리의 다른 글
| 해킹 메일 40% 열람, 16.8% 감염…이메일 한 통이 회사를 무너뜨립니다 (2) | 2025.06.19 |
|---|---|
| ‘위챗’, ‘알리페이’ 추정 40억 건 개인정보 유출에 따른 스미싱 주의 (0) | 2025.06.13 |
| 항공사를 사칭한 피싱, 진짜 비행기표보다 위험한 함정 (3) | 2025.06.12 |
| 배송 지연 안내, 피싱 메일 주의 (5) | 2025.06.02 |
| “유심이 해킹되었습니다”라는 문자의 정체 (0) | 2025.05.30 |
