디링크와 링크시스 공유기 이용자 대상 사이버 공격 발견
상태바
디링크와 링크시스 공유기 이용자 대상 사이버 공격 발견
  • 최형주 기자
  • 승인 2020.03.27 17:56
  • 댓글 0
이 기사를 공유합니다

디링크와 링크시스 공유기에 무단 접속해 DNS 서버 변경하는 방식으로 공격 감행

[CCTV뉴스=최형주 기자] 코로나19 확산을 악용하는 사이버 공격이 지속적으로 발견되고 있는 가운데, 글로벌 보안 매체 블리핑컴퓨터(BleepingComputer)가 최근 디링크(D-Link)와 링크시스(Linksys) 공유기 이용자들을 공격하는 코로나 정보 위장 악성코드를 발견해 주의를 당부했다.

블리핑컴퓨터에 따르면 해커들은 디링크와 링크시스 공유기에 무단 접속해 DNS 서버를 변경하는 방식으로 공격을 감행하고 있다.

 

윈도우8 이상의 OS가 설치된 PC는 네트워크에 연결되면 ‘NCSI(Network Connectivity Status Indicator)’을 활용해 네트워크에 성공적으로 연결됐는지를 확인한다.

이때 윈도우 OS는 자동으로 마이크로소프트의 ‘msftconnecttest.com’라는 사이트에 연결하게 되고, 만약 이러한 과정 중에 실패가 발생할 경우 네트워크 경고를 띄우는 방식으로 인터넷 연결을 확인한다.

해커는 피해자의 공유기 DNS 주소를 바꿔 가짜 페이지로 연결시키고, ‘COVID-19 Informator’ 또는 ‘COVID-19 Inform App’을 설치하도록 유도한다. 또한 해당 앱은 WHO를 사칭한다.

인터넷 이용자가 해당 프로그램을 다운로드해 설치하면, 오스키라는 이름의 정보 스틸링(Oski information-stealing malware) 트로이목마가 설치된다.

이 트로이목마는 ▲브라우저 쿠키 ▲브라우저 기록 ▲브라우저 결제 정보 ▲저장된 로그인 자격 증명 ▲암호 화폐 지갑 ▲텍스트 파일 ▲브라우저 양식 자동 완성 정보 ▲Authy 2FA 인증자 데이터베이스 ▲감염 시 데스크탑 스크린 샷 등의 정보를 훔친다.

 

공유기가 공격받았을 경우 나타나는 화면. 이 화면을 본다면 공유기 DNS 서버 주소를 바꾸는 등 기사 하단의 보안조치를 반드시 수행해야 한다.(사진: BleepingComputer)

블리핑컴퓨터는 현재 해당 악성코드를 유포하는 해커들이 어떤 취약점을 이용해 피해자의 공유기에 접근했는지는 밝혀지지 않았다고 전했다.

다만 취약한 수준의 비밀번호 이용자들이 이 같은 공격을 받았을 가능성이 있는 만큼, ▲PC 백신으로 컴퓨터 검사 수행 ▲DNS서버 설정을 자동 또는 ISP 할당으로 설정 ▲공유기 원격 관리 비활성화 ▲복잡한 관리자 비밀번호 설정 등을 당부했다.

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.