해커들이 라우터의 DNS를 탈취하여 가짜 COVID-19 앱을 배포하다

해커들은 현재의 코로나바이러스(COVID-19) 발병에 대한 두려움을 사이버 공격의 미끼로 사용하고 있으며, 이는 코로나바이러스 지도에서 사용자 정보를 훔치거나, 안드로이드 기기를 잠그는 가짜 코로나바이러스 추적 앱, 코로나바이러스 안전 마스크를 제공한다고 약속하는 악성 안드로이드 앱, 또는 세계 보건 기구(WHO)에 대한 해킹 시도와 관련이 있습니다.

새롭게 발견된 사이버 공격 캠페인에서 연구자들은 해커들이 라우터의 DNS 설정을 탈취하여 웹 브라우저가 가짜 WHO COVID-19 경고를 표시하고 Windows 컴퓨터 사용자를 악성 콘텐츠로 리디렉션하고 있다고 보고했습니다.

BleepingComputer에 따르면, 이 캠페인의 피해자들은 웹 브라우저가 자동으로 열리며 WHO에서 온 것으로 주장되는 “긴급 – COVID-19 정보 제공자” 또는 “COVID-19 정보 앱”을 다운로드하라는 메시지를 표시하는 것을 목격했습니다. 실제로 이 사기 앱은 Oksi라는 정보 탈취 악성코드입니다.

추가 조사 결과, 이러한 경고는 피해자의 가정용 D-Link 또는 Linksys 라우터에 구성된 DNS 서버를 해커가 운영하는 DNS 서버로 변경한 사이버 공격의 결과로 밝혀졌습니다.

대부분의 컴퓨터가 라우터에서 제공하는 IP 주소와 DNS 정보를 사용하기 때문에, 악성 DNS 서버는 피해자를 해커의 통제 하에 있는 악성 콘텐츠로 리디렉션했습니다.

Oksi는 쿠키, 인터넷 기록, 결제 정보 등 브라우저 기반 데이터를 훔칠 수 있으며, 저장된 로그인 자격 증명, 암호화폐 지갑, 텍스트 파일, 브라우저 양식 자동 완성 정보 및 Authy 2FA 인증자 데이터베이스도 포함됩니다.

해커들이 영향을 받은 라우터에 어떻게 접근했는지는 아직 불확실하지만, 일부 사용자는 원격 접근 기능을 약한 관리자 비밀번호로 활성화한 상태로 두었다고 진술했습니다.

“이 공격은 사람들이 자택 라우터의 기본 사용자 이름/비밀번호를 변경해야 할 필요성을 강조합니다. 영향을 받은 사용자 중 다수가 약한 또는 기본 조합을 가지고 있다고 인정했습니다.”라고 Juniper Networks의 글로벌 보안 전략 이사인 Laurence Pitt가 말했습니다. “오늘날 대부분의 인터넷 제공업체는 괜찮은 강도의 기본 보안 설정을 가진 라우터를 제공합니다. 이 공격은 특정 브랜드의 라우터를 목표로 한 것으로 보이며, 이는 사용자들이 장치에 접근하기 위한 기본 관리자/비밀번호 조합을 그대로 두었음을 나타냅니다.”

BleepingComputer에 따르면, 컴퓨터가 네트워크에 연결될 때 Microsoft는 ‘네트워크 연결 상태 표시기(NCSI)’라는 기능을 사용하여 인터넷 연결을 확인합니다.

이 경우, 합법적인 Microsoft IP 주소에 연결하는 대신, 악성 DNS 서버는 사용자를 해커가 제어하는 사이트로 보내어 WHO에서 가짜 ‘긴급 – COVID-19 정보 제공자’ 또는 ‘COVID-19 정보 앱’을 다운로드하고 설치하라는 경고를 표시합니다.

사용자가 애플리케이션을 다운로드하고 설치하면, COVID-19 정보 앱을 받는 대신, Oski 정보 탈취 트로이안이 컴퓨터에 설치됩니다.

이 악성코드가 실행되면 브라우저 쿠키, 브라우저 인터넷 기록, 브라우저 결제 정보, 저장된 로그인 자격 증명, 암호화폐 지갑, 텍스트 파일, 브라우저 양식 자동 완성 정보, Authy 2FA 인증자 데이터베이스, 감염 시 사용자의 데스크탑 스크린샷 등과 같은 정보를 훔치려고 시도합니다.

이렇게 훔친 정보는 원격 서버로 업로드되어 해커들이 피해자의 온라인 계정에 대한 추가 공격을 수행하여 은행 계좌에서 돈을 훔치거나, 신원 도용을 하거나, 추가적인 스피어 피싱 공격을 수행하는 데 사용됩니다.

브라우저가 무작위로 COVID-19 정보 앱 홍보 페이지를 열고 있다면, 라우터를 재구성하여 ISP로부터 DNS 서버를 자동으로 받을 수 있도록 하십시오. 또한 비밀번호를 더 강력한 것으로 재설정하고 라우터에서 원격 관리 기능을 비활성화하는 것이 좋습니다.

COVID-19 앱을 다운로드하고 설치한 경우, 즉시 컴퓨터에서 악성코드 검사를 수행하십시오. 정리된 후, 브라우저에 저장된 모든 사이트의 비밀번호와 감염 후 방문한 사이트의 비밀번호를 변경하십시오. 가장 중요한 것은 비밀번호를 재설정할 때 모든 사이트에서 고유한 비밀번호를 사용하는 것입니다.