최근 6,000개 이상의 워드프레스(WordPress) 사이트가 악성 플러그인에 의해 감염되어, 사용자들에게 가짜 소프트웨어 업데이트나 오류 메시지를 통해 정보 탈취형 멀웨어가 배포되고 있다. 이 공격은 2023년에 등장한 ’클리어페이크(ClearFake)’와 2024년에 새롭게 등장한 ‘클릭픽스(ClickFix)’ 캠페인을 통해 이루어지고 있다.
클리어페이크 캠페인은 가짜 웹 브라우저 업데이트 배너를 표시하여 사용자들이 악성 소프트웨어를 다운로드하도록 유도하는 방식으로 알려져 있다. 클릭픽스는 이와 유사한 방법을 사용하나, 소프트웨어 오류 메시지와 함께 “수정”을 제안한다. 이 수정은 실제로 파워셸(PowerShell) 스크립트로, 이를 실행할 경우 정보 탈취형 멀웨어가 다운로드되어 설치된다.
이 악성 캠페인은 사용자에게 가짜 오류 메시지를 표시하고, 이를 통해 크롬(Chrome), 페이스북(Facebook), 구글 미트(Google Meet) 등과 관련된 오류를 해결하도록 속인다. 이와 같은 방식으로 클리어페이크 및 클릭픽스 스크립트가 사이트 방문자에게 표시되며, 멀웨어가 배포된다.
최근 고대디(GoDaddy) 보안 연구팀은 이러한 위협 행위자들이 워드프레스 사이트를 침해하여 악성 플러그인을 설치하고 가짜 경고를 띄우는 것을 확인했다. 고대디의 연구원 데니스 시네굽코(Denis Sinegubko)는 이러한 악성 플러그인이 워드프레스 관리자에게는 무해하게 보이지만, 실제로는 악성 자바스크립트 코드를 삽입한다고 설명했다.
이러한 악성 플러그인들은 ‘워드펜스 시큐리티 클래식(Wordfence Security Classic)’, ‘라이트스피드 캐시 클래식(LiteSpeed Cache Classic)’ 등 합법적인 플러그인 이름을 모방하거나, 만들어낸 이름을 사용해 관리자의 의심을 피하려 한다.
2024년 6월부터 9월 사이에 발견된 악성 플러그인 목록은 다음과 같다:
•라이트스피드 캐시 클래식(LiteSpeed Cache Classic)
• 커스텀 CSS 인젝터(Custom CSS Injector)
•몬스터인사이트 클래식(MonsterInsights Classic)
•커스텀 푸터 제너레이터(Custom Footer Generator)
•워드펜스 시큐리티 클래식(Wordfence Security Classic)
• 커스텀 로그인 스타일러(Custom Login Styler)
이외에도 수쿠리(Sucuri) 보안 팀에 따르면 ’유니버설 팝업 플러그인(Universal Popup Plugin)’이라는 가짜 플러그인도 확인되었다. 이러한 플러그인은 설치된 후, 다양한 워드프레스 액션에 훅을 걸어 HTML 코드에 악성 자바스크립트를 삽입한다.
악성 플러그인은 바이낸스 스마트 체인(Binance Smart Chain) 스마트 계약에 저장된 추가 자바스크립트 파일을 불러오며, 이를 통해 클리어페이크 및 클릭픽스 스크립트가 배포된다. 또한, 공격자는 관리자의 로그인 자격 증명을 탈취하여 자동으로 플러그인을 설치하는 것으로 확인되었다.
보안 연구원들은 이러한 자격 증명이 피싱, 무차별 대입 공격(brute force), 또는 정보 탈취형 멀웨어를 통해 유출되었을 가능성이 높다고 보고 있다. 워드프레스 관리자는 설치된 플러그인을 주기적으로 확인하고, 자신이 설치하지 않은 플러그인이 있다면 즉시 삭제해야 한다. 또한, 관리자 비밀번호를 즉시 변경하고, 이중 인증(2FA) 등의 보안 조치를 적용해야 한다.
웹사이트 관리자는 정기적인 플러그인 점검과 더불어 악성 코드 스캔, 의심스러운 웹사이트 트래픽을 차단하는 웹 애플리케이션 방화벽(WAF)을 도입하는 것이 중요하다. 또한, 알 수 없는 플러그인 설치 여부를 확인하고, 설치한 플러그인이 공식 사이트나 잘 알려진 소스에서 배포된 것인지 검토하는 것이 필수적이다.
이러한 공격은 워드프레스와 같은 오픈소스 플랫폼에서 발생하는 주요 위협 중 하나로, 사이트 관리자의 보안 인식과 예방 조치가 그 어느 때보다 중요해지고 있다.
