악성코드가 26만9천개 웹사이트 타격

자바스크립트 기반 악성코드 'JSFireTruck'가 269,000개 이상의 웹사이트를 감염시켰다.  공격자는 HelloTDS라는 고급 트래픽 분배 서비스(TDS) 시스템을 악용해 악성 자바스크립트를 배포했다.

'JSFireTruck' 악성코드는 독특한 난독화 기술로 코드 분석을 어렵게 하는 등 기존 보안 탐지를 회피한다. 웹사이트에 악성 자바스크립트를 주입해 사용자 행동을 조작하거나, 악성 사이트 유도에 사용된다.

팔로알토 유닛 42는 지난 3월 26일부터 4월 25일까지 약 한 달 동안 JSFireTruck 공격이 발생한 웹페이지 수가 269,552개에 달했다고 밝혔다. 특히 4월 12일에는 하루에만 50,000건 이상의 감염이 발생했다.

공격자는 고급 트래픽 분배 서비스(TDS) 시스템을 악용해 .top, .shop, .com과 같은 도메인을 이용, 악성 자바스크립트를 배포했다.

악성코드 감염은 감염된 스트리밍 및 파일 공유 웹사이트, 공격자가 제어하는 광고 캠페인 또는 악성 배너, 클릭 유도를 위한 가짜 소프트웨어 또는 브라우저 업데이트 페이지 등을 통해 감염된다.

특히 이러한 구조는 보안 소프트웨어 탐지를 피하고 합법적인 콘텐츠처럼 보이도록 위장해 일반 사용자가 식별하긴 어렵다.

웹사이트 운영자는 CMS와 플러그인을 항상 최신 버전으로 유지, 신뢰되지 않은 스크립트 삽입을 방지해야 한다.

웹사이트 방문자는 가짜 캡챠, 브라우저 업데이트 요청 등 수상한 행동을 보이는 웹사이트를 즉시 종료한다. 보안 솔루션은 최신 위협에 대응할 수 있는 평판 기반 URL 차단 기능을 갖춘 제품을 활용하는 게 바람직 하다.