상세 컨텐츠

본문 제목

DNS 하이재킹, 브라질 금융 기관 노려

국내외 보안동향

by 알약(Alyac) 2018. 8. 14. 11:00

본문

DNS Hijacking targets Brazilian financial institutions


범죄자들이 DNS 설정을 변경해 브라질 사용자들을 가짜 은행 웹사이트로 이동시키기 위해 DLink DSL 모뎀 라우터를 공격하고 있는 것으로 나타났습니다.


연구원들은 사이버 범죄자들이 이 공격을 통해 은행 계정의 로그인 크리덴셜을 훔친다고 밝혔습니다.


공격자들은 네트워크 장비의 DNS 세팅을 자신들이 제어하는 DNS 서버로 변경합니다. 연구원들은 범죄자들이 69.162.89.185과 198.50.222.136 두 개의 DNS 서버를 사용하는 것을 발견했습니다. 이 2개의 DNS 서버는 Banco de Brasil (www.bb.com.br) 과 Itau Unibanco (www.itau.com.br)의 논리적 주소를 가짜 사이트의 주소로 변경합니다.


해커들은  2015년 발견 된 오래 된 익스플로잇을 사용하고 있습니다. 이 익스플로잇은 DLink DSL 장치의 일부 모델에서 동작하며,  취약한 라우터를 온라인에서 실행하고 DNS 설정만 변경하면 됩니다.


전문가들은 이 하이재킹이 사용자 조작 없이도 실행될 수 있다고 강조했습니다.


“이 공격은 은밀히 이루어져 사용자가 아무런 변화를 눈치챌 수 없습니다. 하이재킹은 사용자의 브라우저에서 URL을 제작하거나 변경하지 않은 상태에서 이루어집니다. 사용자는 어떠한 브라우저 및 바로가기 아이콘도 사용할 수 있으며 수동으로 URL을 입력하거나 스마트폰, 태블릿과 같은 모바일 기기에서 사용하더라도 마찬가지입니다.”


“사용자는 요청한 웹사이트가 아닌 악성 웹사이트로 이동 될 것입니다. 하이재킹은 게이트웨이 수준에서 효과적으로 작동합니다.”


공격자들은 특수하게 제작 된 URL 및 악성 캠페인을 이용해 사용자의 브라우저 내에서 DNS 구성을 변경 시도하는 피싱 캠페인을 실행했습니다.


연구원들은 오래된 DLink DSL 라우터 익스플로잇을 사용하는 감염 시도를 기록했습니다.




<이미지 출처: https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/dns-hijacking-brazil-banks/>


이 캠페인에 사용 된 악성 URL은 아래와 같습니다.


이미지 출처: https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/dns-hijacking-brazil-banks/


DSL 라우터용 다수의 익스플로잇들은 2015년 2월부터 온라인에서 찾아볼 수 있었습니다:


Shuttle Tech ADSL Modem-Router 915 WM / 승인 되지 않은 원격 DNS 변경 익스플로잇 

D-Link DSL-2740R / 승인 되지 않은 원격 DNS 변경 익스플로잇

D-Link DSL-2640B 승인 되지 않은 원격 DNS 변경 익스플로잇 /

D-Link DSL-2780B DLink_1.01.14 – 승인 되지 않은 원격 DNS 변경

D-Link DSL-2730B AU_2.01 – 인증 우회 DNS 변경

D-Link DSL-526B ADSL2+ AU_2.01 – 승인 되지 않은 원격 DNS 변경 https://www.exploit-db.com/exploits/37241/


피해자들이 가짜 웹사이트를 방문하면 에이전시 번호, 계좌 번호, 휴대 전화번호, 카드 번호, 8자리 숫자 번호 및 CABB 번호와 같은 은행 정보를 요청합니다.


또한 연구원들은 캠페인에서 사용 된 피싱 웹사이트는 URL에서 ‘안전하지 않음’으로 표시된다는 것을 발견했습니다.


연구원들은 타겟 금융기관들에 이 캠페인에 대해 알렸으며, 가짜 웹사이트는 현재 오프라인 상태가 되었습니다.

“장치 및 라우터에서 사용하는 DNS 서버를 확인하는 편리한 방법은 http://www.whatsmydnsserver.com/ 와 같은 웹사이트를 확인하는 것입니다. 


지난 2년 동안 업데이트 되지 않았던 모뎀 및 라우터들은 이 공격에 취약할 것입니다. 그렇기 때문에 모뎀 및 라우터를 업데이트 해야하며, 이러한 업데이트는 사용자들을 보호하고 기기가 공격 타겟이 되는것을 막아줄 것입니다. 





출처 :

https://securityaffairs.co/wordpress/75282/cyber-crime/dns-hijacking-brazil.html

https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/dns-hijacking-brazil-banks/



관련글 더보기

댓글 영역