2024-03-28 23:50 (목)
[주의] 라우터 사용자 주의…코로나19 악성코드 설치 페이지로 이동시켜 사이트 장악
상태바
[주의] 라우터 사용자 주의…코로나19 악성코드 설치 페이지로 이동시켜 사이트 장악
  • 길민권 기자
  • 승인 2020.03.31 17:11
이 기사를 공유합니다

라우터 사용자들의 각별한 주의가 요구된다. 최근 악성코드를 유포하는 코로나19 바이러스 관련 사이트로 이동시키기 위해 공격자들이 라우터에 침투해 DNS 설정을 바꿔온 것으로 확인되었다.

보안기업 빗디펜더(BitDefender)에 따르면, 이 공격이 현재 D-Link와 Linksys 라우터 사용자를 타깃으로 하고 있다고 밝혔다.

빗디펜더에 따르면 해커는 타깃 라우터의 관리자 패스워드를 알아내기 위해 브루트포싱 공격을 실행 중이다. 이들이 패스워드를 알아내 접속하면, 해커는 라우터의 디폴트 DNS 서버 설정을 변경해 그들의 서버로 접속하도록 설정한다.

즉 하이재킹된 라우터에 연결된 모든 DNS 쿼리는 해커의 DNS 서버를 거치게 되고 공격자는 사용자가 연결할 사이트를 완전히 제어할 수 있는 권한을 얻게 된다.

이 회사 보고서에 따르면, 사용자가 특정 도메인 목록에 접근하려 시도할 경우 해커는 이들을 코로나19(COVID-19) 정보 앱을 설치하도록 요구하는 사이트로 이동시킨다. 이 앱이 Oski 악성코드의 한 버전을 설치하게 된다.

Oski는 최근 러시아어 다크웹에서 판매된 인포 스틸러 악성코드다. 이 악성코드의 주요 기능은 브라우저로부터 계정 크리덴셜을 훔치고 가상화폐 계정을 하이재킹하기 위해 가상화폐 파일을 탈취하게 된다.

빗디펜더에 따르면, 사용자는 아래 도메인 중 하나에 접근을 시도할 경우 코로나19 바이러스 관련 사이트로 이동하는 것으로 조사됐다.

해커가 사용하는 악성 DNS 서버는 아래와 같다.

현재 D-Link나 Linksys 라우터를 사용 중일 경우 관리자 패널의 DNS 설정 부분에서 이 두 주소가 설정되어 있는지 확인하는 것이 좋으며, 설정이 변경되었을 때에는 이 DNS 서버 IP 주소를 제거하고 라우터의 관리자 패널 패스워드를 변경해야 한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★