디스코드 러시아 스팀 해킹 사이트 분석 (dlscord.org) 해킹 주의하세요


관련 내용에 관한 링크를 첨부합니다.

http://itcm.co.kr/g_board/8627388

 

대규모 해킹러시가 있습니다 조심하세요 - 이야기 - ITCM

1. 니한테 디스코드, 스팀, 에픽게임즈, 네이버, 다음 등으로 친추되어있거나 같은 채팅방에 있는 사람들이나 서로이웃 등이 되어있는 사람들로부터  사이트의 링크와 비스무리한 사이트의 링

itcm.co.kr

디스코드 러시아 해킹 사이트 주의

https://dlscord.org/airdrop

https://dlscord.org/steam

https://dlscord.org/기타단어

현재 디스코드를 해킹 당하면 자신의 디스코드 계정으로 위 링크를 포함한 낚시 문구를 자신의 친구들에게 뿌리게 되고

친구들 중 한명이 위 링크를 타고 들어가면 스팀에서 디스코드 Nitro의 무료 구독권을 한달치를 준다는 내용의 사이트가 표시됩니다.

 

위 사이트에서 왼쪽아래 Free 버튼을 누르면 스팀 로그인창이 뜨는데 거기서 스팀 로그인을 하면 바로 자신의 스팀 계정이 러시아 해커들한테 전송되어 계정이 털리고 장악당합니다. 절대 누르지 마세요.

 

해킹 당한 스팀계정은 또 자신의 친구들에게 해킹 링크를 보내게 되며 코로나 바이러스처럼 연속적으로 감염되는 형식입니다.

 

주소를 보시면 알겠지만 dlscord.org 입니다. 디스코드의 정식 주소는 discord.com 입니다. 

l과 i가 햇갈리는걸 이용해서 주소를 비슷하게 해놓고 디스코드 사이트 프론트앤드단을 그대로 복사해서 교묘하게 속이고 있습니다. 저도 깜빡하면 속을뻔했습니다.

 

 

 

자세한 내용은 아래 본문을 읽어주세요.

 


 

게임을 하던 중 제 동생 스팀 계정에서 저한테 이런 메세지가 날라옵니다.

러시아 문구와 해킹을 위한 낚시용 링크가 왔습니다.

 

네 맞습니다. 해킹을 당해서 제 동생 계정으로 다른 사람을 또 해킹하기 위해 링크를 뿌려대고 있는겁니다.

 

사진은 찍지 않았으나 이메일로 복구하려 했더니 a*************.ru 와 같은 해커의 이메일로 계정 이메일이 변경되어 있어서 비밀번호 복구도 불가했습니다. 계정이 완전히 장악당했습니다.

 

이렇게 복구가 불가능한 경우 스팀 고객지원에 문의하면 빠르게 풀어줍니다. 도난 관련 문의를 보냈더니 3시간만에 임시 비밀번호가 발급이 되서 계정을 되찾을 수 있었습니다. 물론 로그인 해보니 친구가 전부 삭제되어 있었고 닉네임도 바뀌어 있었습니다.

https://help.steampowered.com/ko/wizard/HelpWithAccountStolen

 

Steam 고객지원 - 계정 도난

Steam 계정에 로그인하면 Steam 고객지원에 연락, 환불 요청 및 Steam 게임 관련 지원을 받을 수 있습니다. 로그인을 할 수 없거나 비밀번호 변경이 필요한 경우 또는 해킹된 계정에 대해서도 지원을

help.steampowered.com

 

 

해당 수법은 제가 예전에 당해본적이 있어서 바로 알아차렸는데요

위 사진을 보시면 이해가 되실탠데 저도 디스코드 계정 해킹으로 이렇게 제 의지와는 관계없이 exe파일 주소를 뿌려대던 적이 있습니다.

 

근데 당황스러운건 제가 로그인 상태인데도 보내더라구요 ; 확인해보니 디스코드에 개발자용 API가 활성화 되어있었는데 이걸 이용해서 API로 메세지를 보낸거 같았습니다.

 

자기가 게임을 만들었다고 홍보하고 있지만 당연히 exe를 실행하면 십중팔구 좀비 PC상태가 됩니다. 아이콘도 안뜨는 수상한 exe더라구요. 말씀드리지만 exe는 일단 함부로 실행하는게 아닙니다. 특히 수상한거라면 절대 막 실행하시면 안됩니다.

 

이젠 저런 방식으로 디스코드 해킹 => 링크를 뿌려서 그 링크로 또 스팀계정을 해킹 => 그 스팀 계정으로 다른 링크를 뿌려대서 또 다른 계정을 해킹

 

이런 악순환의 반복입니다. 링크를 동시 다발적으로 뿌려대서 여러 계정을 갈취해대고 있습니다. 확인해보니 저희 동생도 친구가 뿌린 디스코드 무료 Nitro 제공 링크를 눌러서 스팀 로그인을 했다고 하더라구요.

 

정말 나쁜놈들이죠? 사이트 로직을 분석해서 이놈들이 어떤 방식으로 계정을 털어대는지 봐보겠습니다.

 

사이트 분석

dlscord.org 로 시작하는 여러 사이트가 있지만 우선 https://dlscord.org/airdrop 여기를 먼저 확인해보곘습니다.

원래는 안떴는데 들어가자마자 사기성 사이트 주의가 뜨네요.

 

그러면 이 링크는 어떨까요? https://dlscord.org/steam

 

이 사이트는 또 정상적으로 접속이 됩니다. 보안연결도 잘 들어가고 https 인증서도 받아놨네요

아마 한 도메인에 라우터를 여러개 만드는게 최대한 사람들을 낚고, 보안 문제를 피하려고 하는거 같습니다.

 

어짜피 터는 방식은 다 똑같으니 이 사이트를 한번 확인해보도록 하겠습니다.

 

위 링크를 누르면 진짜 공식 디스코드 사이트로 이동합니다.

아마 예전에 디스코드 Nitro 이벤트를 할때 프론트엔드단을 통째로 복사해서 카피해온거 같습니다.

문제의 그 버튼을 눌러보겠습니다.

 

누르자마자 스팀 로그인을 하라고 뜨네요. 딱봐도 수상한 냄새가 풀풀납니다.

아까도 말했듯이 보내면 아이디와 비밀번호가 그대로 해커들한테 전송됩니다.

 

Fiddler로 체크해보니 로그인 버튼을 누르자 discord.org/login/sign에 fingerprint 값을 Post로 전송하고 있습니다.

 

그러면 저기에 아무거나 입력하고 로그인을 해보겠습니다.

 

확인해보시면 dlscord.org/login/dologin에 방금 입력했던 id와 pw를 Post로 암호화 하지 않고 그대로 전송하는것을 알 수 있습니다. Requests에 대한 Reponse는 유니코드인데 

 

다음과 같이 메세지가 표시되었습니다.

 

{"code":0,"message":"\uc785\ub825\ud558\uc2e0 \uacc4\uc815 \uc774\ub984\uc774\ub098 \ube44\ubc00\ubc88\ud638\uac00 \uc62c\ubc14\ub974\uc9c0 \uc54a\uc2b5\ub2c8\ub2e4."}

요청에 대한 응답값은 방금 스팀 로그인이 잘못되었다는것이네요. 우리가 로그인 버튼을 누르면 id,pw는 POST로 그대로 서버에 전송하고 사용자한테 응답할때는 진짜 스팀 로그인 실패에 대한 메세지를 응답함으로써 일반적인 스팀 로그인처럼 속이고 있는겁니다.

 

(만약 보내는 위치가 스팀 공식 홈페이지 였으면 문제가 없었을 겁니다.)

 

그러므로 dlscord.org/login/dologin 이곳에 쓰레기 데이터를 마구 보내주면 해커들에게 공격을 가할 수 있을겁니다. 아니면 사이트에 요청을 계속걸어서 마비시킨다 던지요...

 

일단 요청과 응답밖에 볼 수 없기 때문에 얘내들이 id,pw를 받을때 진짜 스팀 로그인이 되는건지 검사하고 받아들이는건진 모르겠습니다만, 일단 id,pw를 수집하는건 100%입니다.

 

어찌됬건 모르는 사람이 디스코드로 exe를 뿌리면 절대 실행하지마시고, 사이트를 뿌리면 아예 접속을 안하는게 현명할 거 같습니다. 모두 주의 하시길 바랍니다!!

COMMENT WRITE