Vidar Stealer. Vidar 멀웨어란 무엇인가요?

Vidar Stealer. What is Vidar Malware?
Cryptostealer, Stealer, Spyware, PWS:Win32/Vidar
Written by Brendan Smith

Vidar 악성 코드는 스틸러에 속합니다. 이는 특정 데이터 유형을 도용하는 악성 소프트웨어 유형입니다. Vidar 스틸러는 독자적인 말웨어로 배포되거나 다른 다양한 바이러스와 함께 전달될 수 있습니다. 예를 들어, Djvu 랜섬웨어와 함께 도착하며, 이를 통해 범죄자들이 추가적인 개인 데이터를 수집할 수 있습니다. Vidar 스틸러 분석을 수행하여 그 위험성을 파악해 보겠습니다.

비다르 스틸러란 무엇인가요?

비다 스틸러(Vidar Stealer)는 2018년쯤 부터 이전 버전인 아르케이 스틸러(Arkei Stealer)에서 파생된 악성 애플리케이션입니다. 스틸러의 주요 기능은 시스템에 은밀하게 침투하고, 미리 정의된 데이터 유형을 수집하는 능력입니다. 이것이 스파이웨어와 차이점이 되는데, 후자는 가치가 없는 정보일지라도 접근 가능한 모든 것을 수집합니다. 스틸러는 대개 보조 악성 소프트웨어로서, 주 페이로드를 보완하는 역할을 합니다.

Vidar는 은행 및 암호화 지갑 정보 및 로그인 자격 증명, IP 주소 및 브라우징 기록 등을 도용하기 위해 목적을 두고 있습니다. Vidar는 효율적으로 Chrome, Opera, Chromium 기반 브라우저 및 Firefox에 대한 정보를 캐낸다. 이는 시스템에서 은행 데이터나 암호화 지갑을 사용하지 않더라도 다른 모든 것들을 캐낼 수 있다는 것을 의미합니다. Vidar는 FTP/WinSCP 연결 자격 증명을 타겟으로하는 특징을 가지고 있으며, 이러한 자격 증명은 웹 마스터 및 원격 근무자들이 자주 사용합니다. 또한 공격 대상 시스템에서 사용하는 이메일 클라이언트로부터 다양한 데이터를 가져올 수 있습니다. 그러나 이러한 특징은 유일하지 않습니다. 이와 같은 다른 예시들도 유연하게 작동할 수 있습니다.

Vidar 멀웨어 기술 분석

탐지된 시스템에 주입되고 실행된 후, Vidar Stealer는 마스토돈(Mastodon) 소셜 네트워크 채널에 연결을 시도합니다. 이 네트워크는 익명 통신을 위한 장소로 소개되며, 다른 네트워크에 비해 적극적으로 모니터링되지 않습니다. 이 스틸러는 hxxps://mas.to/@oleg98 채널에 접속하여 명령 및 제어 서버(C&C)의 IP 주소를 검색하려고 시도합니다. 또한, 각각의 감염된 기기에 대해 고유한 ID를 할당하고 이를 명령 센터에 공지합니다.

Vidar stealer step-by-step

C&C와의 연결이 이루어지면 Vidar 악성 소프트웨어는 구성 데이터를 받습니다. 이 정보는 초기 악성 코드가 실행되는 데 도움이되는 프로세스 체인을 만드는 데 사용됩니다. 이 프로세스에는 Devil.exe (Vidar의 실행 파일), taskkill.exe 및 timeout.exe가 있습니다. 또한 기본 Windows 콘솔 유틸리티 인 conhost.exe를 호출합니다. Taskkill.exe 프로세스는 악성 코드 기능을 방해 할 수있는 프로세스를 비활성화하는 것으로 생각됩니다. Timeout.exe 프로세스는 일정 시간이 지나면 악성 코드 실행을 중지하고 장치에서 제거합니다. 모든 메커니즘과 Vidar 자체는 C ++로 작성됩니다.

Vidar 스틸러는 초기 공급 시 대부분의 기능을 수행하지만 암호 도용 기능은 별도의 모듈로 진행됩니다. 구성 데이터가 수신되고 프로세스가 롤아웃되면 이를 전송하도록 C&C에 요청합니다. 이러한 조작의 목적은 보안 메커니즘을 비활성화하지 않는 한 맬웨어를 보다 은밀하게 만드는 것일 수 있습니다. 암호 도용 모듈은 휴리스틱 메커니즘을 통해 감지하기가 매우 쉽기 때문에 도착을 지연시키는 것이 좋습니다. 자격 증명 추출에 사용되는 라이브러리는 다음과 같습니다.

  • freebl3.dll
  • mozglue.dll
  • msvcp140.dll
  • nss3.dll
  • softokn3.dll
  • cnruntime140.dll

Vidar Stealer는 작동 중 추출 프로세스를 기다리는 도난 파일 덤프를 생성합니다. 이들은 일시적인 폴더에 C:\ProgramData 디렉토리에 저장됩니다. 이러한 덤프는 일반적으로 텍스트 파일 또는 드물게 zip 아카이브로 저장됩니다. 이 프로세스가 끝나면 이 파일들은 무작위 이름을 가진 하나의 대규모 압축 파일로 압축되어 명령 및 제어 서버로 보내집니다. 그러나 해당 아카이브에 액세스를 제어하기 위한 암호화 또는 비밀번호가 적용되지 않습니다. 따라서, 한번 가로채거나 PC에서 보내지 않은 것을 찾으면, Vidar Stealer가 PC에서 무엇을 가져갔는지 확인할 수 있습니다.

Vidar archive

비다르 스틸러가 수집한 데이터 아카이브

Vidar는 이전에 언급된 데이터 범주 외에도 특정 시스템 정보를 수집합니다. 특히, 악성 코드는 설치된 경로, 작업 날짜 및 시간, 하드웨어 정보 및 설치된 소프트웨어 목록을 기록합니다. 후자는 컴퓨터가 바이러스를 분석하기 위해 사용되는 가상 머신인지 아닌지를 이해하기 위해 필요한 것으로 보입니다. VM은 항상 로그에 특정한 흔적을 남기며, 그들의 출력 데이터는 범죄자들에게 무용지물일 것입니다.

Collected sysinfo Vidar stealer

Vidar가 수집한 시스템 정보

비다르 스틸러 IoC

IndicatorValueNote
Hash​c40c62b978908e0f5112eee4ae7370fb9c4cc1ed7c90a171be89f6fd8c10b376Vidar Stealer 파일
Connection@oleg98@mas.to마스토돈 소셜 네트워크의 봇이 C&C IP를 다시 전송합니다.
C&C address​hxxp[:]//65.100.80[.]190앞서 언급한 봇으로부터 받은 IP 주소

야생에 널리 퍼진 비다르 변종

비다르 스틸러 확산

희생자들의 컴퓨터로 전파되기 전에 Vidar가 판매되는 채널을 살펴보는 것이 가치가 있습니다. 일반적인 다크넷 마켓과 해커 포럼 외에도 Vidar 개발자들은 Telegram을 통해 소프트웨어를 제공합니다. 이 메신저는 최근 몇 년간 서로 다른 범죄자들에게 관심을 받았으며, 상대방보다 더 많은 익명성을 약속합니다. 그러나 이 Telegram 채널에서 구매한 후에 무언가를 받을 것을 보장할 수는 없습니다.

Telegram Vidar group

텔레그램 그룹에서 비다르 스틸러 구매 제안이 들어왔습니다.

Vidar가 독립적인 악성코드로 배포될 때, 그 전파 채널은 다른 스틸러 악성코드와 유사합니다. 가장 일반적인 방법은 이메일 스팸입니다. 이메일은 진짜 회사를 모방하지만, 악성 요소를 포함합니다. Vidar 스틸러의 경우, 이러한 메시지에는 MS Office 파일이 첨부됩니다. 첨부 파일을 열면 사용자는 매크로 실행을 활성화하도록 요구 받습니다. 이 작업은 악성코드 전달을 시작합니다.

드물게 Vidar는 다른 통신 플랫폼의 메시지, 를 통해 확산됩니다. Facebook, Discord 또는 WhatsApp과 같은 이 접근 방식은 수신자의 신뢰를 얻어야 합니다. 그렇지 않으면 효율성은 이메일 스팸과 동일합니다. 메시지 양이 적고 사기에 대한 더 복잡한 보호 기능이 결합되어 이러한 방법의 효과가 훨씬 떨어집니다.

Vidar 스틸러의 단독 유포 외에도 이 악성코드가 STOP/Djvu와 함께 맬웨어 번들의 일부로 유포된 경우가 많습니다. 랜섬웨어. 지난 몇 달 동안 이 랜섬웨어와 함께 등장하여 사기꾼에게 추가 수입원을 제공했습니다. 이중 갈취를 적용하지 않기 때문에 해당 데이터는 판매될 가능성이 높습니다. Darknet에는 기꺼이 구매할 구매자가 충분합니다. 이 경우 Vidar 스틸러는 Azorult 스파이웨어의 대체물이 되었습니다. 개인 데이터를 가져옵니다. Djvu 랜섬웨어와의 결합은 전체 Vidar 감염 수에서 큰 비중을 차지합니다.

STOP/Djvu 랜섬웨어란 무엇인가요?

STOP/Djvu 랜섬웨어는 동명의 사이버 범죄 조직의 제품입니다. 랜섬웨어-서비스로 제공되며, 개인을 대상으로 공격합니다. 2019년경에 출현한 이 랜섬웨어는 곧 지도자가 되어, 2020년에는 개인 사용자에 대한 모든 랜섬웨어 공격 중 75% 이상을 차지했습니다. 이러한 성공은 숙련된 제휴업체, 광범위하게 대상으로 하는 전파 캠페인 및 잘 구현된 소프트웨어의 결과입니다. 이 랜섬웨어는 파일 섹션을 너무 많이 변경하여 시그니처 기반 메커니즘으로 감지하는 것이 불가능하다는 독특한 패킹 메커니즘으로 유명합니다. 요즘에는 예전만큼 높은 감염률을 제공할 수 있는 새로운 유포 방법을 찾는 데 어려움을 겪고 있습니다.

Djvu 랜섬웨어(NUOW 변종)에 의해 암호화된 파일

도용 멀웨어로부터 자신을 보호하는 방법은 무엇인가요?

스파이웨어와 마찬가지로 스틸러는 감염된 시스템 내부의 은밀성에 의존합니다. 그들은 많은 것을 바꾸지 않으며 단독으로 행동할 때 시스템 작업 흐름을 거의 방해하지 않습니다. 따라서 최소한의 기회를 제공하는 것이 좋습니다. 이에 집중하여 이 맬웨어를 방지하는 데 무엇이 도움이 되는지 살펴보겠습니다.

이메일 첨부 파일을 절대 신뢰하지 마세요. 위에서 설명한 것처럼, Vidar 스틸러로서 주로 전자우편 스팸이 사용됩니다. 제 3자 웹사이트로 연결하는 링크나 첨부된 파일과 상호작용하는 것은 좋지 않은 아이디어입니다. 다행히도, 이러한 스팸 이메일을 감지하는 것은 꽤 쉽습니다 – 발신자의 주소와 예기치 않은 내용의 이상한 텍스트로 이루어져 있습니다. 이 두 가지 특징을 확인하면 대부분의 스팸 이메일을 걸러낼 수 있습니다.

Email spam example

미끼 이메일의 전형적인 예입니다. 첨부 파일에 멀웨어가 포함되어 있습니다.

불법 복제된 콘텐츠는 피하세요. 이것은 Vidar 스틸러와 함께 자주 나타나는 Djvu 랜섬웨어와 관련이 더 많습니다. 대부분의 게임이나 영화를 불법으로 복제하는 사이트는 악성 코드가 없다고 보증합니다. 그러나 드물게는 깨끗할 수 있지만, 랜섬웨어가 포함되어 있지 않은 것은 아닙니다. 여전히 컴퓨터에 악성 코드가 들어갈 가능성도 있으며, 저작권 법을 위반하여 소송에 직면할 수도 있습니다.

안티-악성 코드 소프트웨어 사용. 마지막 수단으로, 컴퓨터에 있는 모든 악성 코드를 효과적으로 검출하고 삭제할 수 있는 잘 만들어진 보안 솔루션을 가져야합니다. GridinSoft Anti-Malware가 이러한 목적에 가장 적합합니다. 완벽한 감지 메커니즘을 갖추고 있으며 3개 요소로 구성되어 있습니다. 또한, 백그라운드에서 실행될 때 시스템에 부담을 느끼지 않을 정도로 매우 가볍습니다. 6일의 무료 평가판으로 모든 기능을 테스트할 수 있습니다.

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

영어 독어 일어 스페인어 브라질 포르투갈어 불어 터어키어 중국어 번체 인도네시아어 힌두어 이태리어

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending