|
게임 해킹 프로그램으로 위장해 유포중인 Vidar stealer 분석팀 2022.10.31 |
|
|
최근, 게임 해킹 프로그램으로 위장한 Vidar stealer가 유포되고 있다. 악성코드 유포자들은 Youtube를 활용해 실제 프로그램이 동작하는 것처럼 동영상을 업로드했으며, 파일을 다운로드할 수 있는 링크를 함께 제공하고 있다.
악성코드를 유포 중인 Youtube 계정은 해킹된 것으로 판단되며 실제로 동작하는 것처럼 꾸미기 위해 허위 댓글을 작성, 파일 다운로드 및 실행을 유도했다. 또한, 압축파일에 비밀번호를 설정, 파일 용량을 임의로 늘려 보안 솔루션의 탐지를 회피하고자 했으며, 프로그램이 실제로 동작하는 것처럼 꾸미기 위해 다수의 허위용 댓글을 작성했다.
다운로드된 악성코드(Loader.exe)는 Vidar Stealer를 실행시키는 Loader로 정상 프로세스(vbc.exe)를 생성해 Code Injection을 수행한다.
Injection된 Vidar stealer가 실행되면 여러 추가 행위를 수행하기 위해 서버로부터 모듈을 받아오며, 감염 PC의 파일 탈취, 민감한 정보, Browser data, 가상화폐 지갑 데이터 등을 수집해 공격자의 텔레그램 주소로 전송한다.
* 악성코드에 사용된 URL 목록 - https[:]//t[.]me/slivetalks (C&C 서버 수신) - http[:]//95.216.181.10:80/1375 (Vidar Stealer C&C서버 / 추가 모듈 다운로드 / 탈취한 파일 업로드) - https[:]//dl[.]uploadgram[.]me/635ef4e47c4cbg?raw (추가 악성코드) - https[:]//dl[.]uploadgram[.]me/6312834e4f235h?raw (삭제됨)
Vidar Stealer는 보통 피싱 메일, 무료 소프트웨어, 크랙 다운로드 등으로 위장해 다운로드를 유도하는 방식으로 유포되고 있다. 따라서 의심스러운 메일의 첨부파일이나 신뢰 되지 않은 사이트에서 받은 파일은 실행을 지양하도록 한다. |