해커들은 사이버 공격의 미끼로 최신 코로나 바이러스 (COVID-19) 발생에 대한 두려움을 이용하고 있습니다. 코로나 바이러스지도 사용자 정보를 도용하거나 위조 코로나 바이러스 추적 앱 안드로이드 기기 또는 악성 안드로이드 앱을 잠그는 것 코로나 바이러스 안전 마스크또는보고 된 세계 보건기구에 대한 해킹 시도 (누구).
새로 발견 된 사이버 공격 캠페인에서 연구원들은 웹 브라우저가 가짜 WHO COVID-19 경고를 표시하고 Windows 컴퓨터 사용자를 악의적 인 콘텐츠로 리디렉션 할 수 있도록 해커가 라우터의 DNS 설정을 가로채는 것으로 알려졌습니다.
에 따르면 멍청한 컴퓨터, 캠페인 피해자는 웹 브라우저가 자동으로 열리는 것을 목격했으며 WHO에서 추정 한 "Emergency – COVID-19 Informator"또는 "COVID-19 Inform App"을 다운로드하라는 메시지를 표시했습니다. 실제로 사기성 앱은 Oksi라고하는 정보 도용 맬웨어입니다.
추가 조사 결과, 이러한 경보는 사이버 공격의 결과로, 피해자의 홈 D-Link 또는 Linksys 라우터에 구성된 DNS 서버가 공격자가 운영하는 DNS 서버를 사용하도록 변경되었습니다.
전문가들에 따르면 대부분의 컴퓨터는 라우터가 제공하는 IP 주소와 DNS 정보를 사용하기 때문에 악의적 인 DNS 서버는 공격자의 통제하에 악의적 인 콘텐츠로 피해자를 리디렉션했습니다.
알지 못하는 사람들을 위해 Oksi는 쿠키, 인터넷 기록 및 지불 정보를 포함한 브라우저 기반 데이터와 저장된 로그인 자격 증명, 암호 화폐 지갑, 텍스트 파일, 브라우저 양식 자동 완성 정보 및 Authy 2FA 인증 자 데이터베이스를 훔칠 수 있습니다.
공격자가 어떻게 영향을받는 라우터에 액세스했는지는 아직 확실하지 않지만 일부 사용자는 관리자 암호를 사용하여 원격 액세스 기능을 열린 상태로 두었다고 말합니다.
주니퍼 네트웍스의 글로벌 보안 전략 책임자 인 Laurence Pitt는“이 공격은 사람들이 홈 라우터의 기본 사용자 이름 / 암호를 변경해야한다는 것을 강조합니다. . “대부분의 인터넷 제공 업체는 기본 보안 설정이 적절한 라우터를 제공합니다. 이 공격은 특정 브랜드의 라우터를 겨냥한 것으로 보입니다. [이것은 또한 사용자가 장치에 액세스하기 위해 기본 관리자 / 암호 조합을 남겼 음을 나타냅니다. "
BleepingComputer에 따르면 컴퓨터가 네트워크에 연결될 때 Microsoft는 '네트워크 연결 상태 표시기 (NCSI)인터넷 연결을 확인하십시오.
이 경우, 악의적 인 DNS 서버는 합법적 인 Microsoft IP 주소에 연결하는 대신 해커 제어 사이트로 사용자를 보내 가짜 '비상 – COVID-19 Informator'또는 'COVID-19를 다운로드하고 설치하라는 경고를 표시합니다. WHO에서 앱에 알리십시오.
사용자가 COVID-19 정보 앱을받는 대신 애플리케이션을 다운로드하여 설치하는 경우 Oski 정보 스털링 트로이 목마 컴퓨터에 설치됩니다.
이 멀웨어는 브라우저 쿠키, 브라우저 인터넷 기록, 브라우저 지불 정보, 저장된 로그인 자격 증명, 암호 화폐 지갑, 텍스트 파일, 브라우저 양식 자동 완성 정보, Authy 2FA 인증 자 데이터베이스, 사용자 데스크탑의 스크린 샷과 같은 정보를 도용하려고 시도합니다. 감염 시간 등
그런 다음이 도난 된 정보는 원격 서버에 업로드되어 공격자는 데이터를 수집하여 피해자의 온라인 계정에 대한 추가 공격을 수행하여 은행 계좌에서 돈을 훔치거나 신원 도용 또는 추가 스피어 피싱 공격을 수행합니다.
브라우저가 임의로 COVID-19 정보 앱 프로모션 페이지를 여는 경우 ISP에서 DNS 서버를 자동으로 수신 할 수 있도록 라우터를 재구성하십시오. 암호를 더 강력하게 재설정하고 라우터에서 원격 관리를 비활성화하는 것이 좋습니다.
COVID-19 앱을 다운로드하여 설치 한 사용자는 컴퓨터에서 즉시 맬웨어 검사를 수행하십시오. 치료가 끝나면 브라우저에 자격 증명이 저장된 모든 사이트와 감염 후 방문한 사이트의 비밀번호를 변경해야합니다. 가장 중요한 것은 비밀번호를 재설정하는 동안 모든 사이트에서 고유 한 비밀번호를 사용해야합니다.
