Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보이력서로 위장한 Vidar 악성코드
작성일 2020-05-13 조회 510

1. 개요

Vidar 는 데이터 탈취형 트로이 목마(Information Stealer)이다. 2018년 12월에 처음 발견되었으며, 주로 랜섬웨어와 함께 유포된다. 최근에는 이력서 파일로 위장하여 Nemty 랜섬웨어와 함께 이메일을 통해 유포되었다.

 

Vidar_샘플 정보

 

 

 

2. 주요 행위

Vidar 는 브라우저(계정, Cookie, History 등), 2FA, 가상 화폐 등과 관련된 정보와 PC 정보를 수집한다. 수집한 데이터는 'files' 디렉터리에 저장되며, C2로부터 수집할 데이터의 범위를 수신받는다.

 

 

2.1 사용자 계정 정보 탈취

정상 DLL 파일을 C2에서 다운로드받으며, 사용자 계정 정보를 탈취할 때 사용된다. 그리고 행위가 종료되면, 해당 DLL 파일은 삭제된다.

 

 

Vidar_다운로드 받는 정상 DLL 목록

 

 

 

브라우저에 저장되어 있는 계정 정보를 포함하여 Cookie, History 정보 등을 탈취한다. 탈취한 계정 정보는 'password.txt'에 브라우저명, URL, ID, PW는 복호화를 통해 평문으로 기록되고, 이외의 데이터는 파일의 형태로 각각의 디렉터리에 저장된다.

 

 

Vidar_계정 정보 탈취

[ 그림 1 ] 계정 정보 탈취

 

Vidar_타깃 브라우저 목록

 

 

 

2.2 PC 정보 탈취

감염 PC의 세부 정보(PC 사양, 네트워크 정보, 실행중인 프로세스 정보, 설치되어 있는 응용 프로그램 목록 등)를 information.txt에 기록한다. API와 레지스트리 값을 통해 정보를 수집하며, 네트워크 정보는 'ip-api.com/line/'에서 데이터를 받아 기록한다.

 

 

Vidar_information.txt

[ 그림 2 ] information.txt

 

 

그리고 계정과 PC 정보를 제외한 정보(2FA, 가상 화폐 등)는 각각의 디렉터리를 생성하여 파일의 형태로 저장된다. files 디렉터리의 구조는 다음과 같다.

 

 

Vidar_타깃 가상 화폐 목록

 

Vidar_files 디렉터리 구조

 

 

 

2.3 데이터 전송

files 디렉터리를 압축하여 '[국가정보]_[Machine GUID].zip' 파일을 생성한다. 그리고 추가 콘텐츠(PC 정보, 탈취한 파일의 개수 등)와 zip 파일을 함께 C2로 전송한다.

 

 

Vidar_데이터 전송 패킷

[ 그림 3 ] 데이터 전송 패킷

 

 

이와 같은 악성코드로 인한 피해를 예방하기 위해서는 출처가 불분명한 메일의 첨부파일이나 링크를 실행하지 않고, 안티 바이러스 제품을 최신 버전으로 유지해야 한다.

 

 

3. APTX 탐지 결과

현재 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 

Vidar_SNIPER APTX 탐지

[ 그림 4 ] APTX 탐지/분석 보고서

 

첨부파일 첨부파일이 없습니다.
태그 Vidar  InfoStealer  이력서