vidar

특정 게임 플랫폼을 악용한 Vidar 인포스틸러

ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 Faceit이라는 게임 매칭 프로그램을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 스팸 메일이나, PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되는 등 과거부터 꾸준히 유포되고 있는 악성코드이다. (본 블로그 하단의 이전 블로그 링크 참고) Vidar는 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 명령을 전달받고, 추가적으로 여러 DLL들을 다운로드 받아 사용자의 정보들을 수집한다. 과거에는 일반적인 악성코드들과 같이 단순히 C&C 서버에 접속하여 명령 및 추가 파일들을 전달받았다면, 최근 확인되고 있는 Vidar는 실제 C&C 서버를 구하기…

구글 키워드 검색으로 유포되는 정보 유출 악성코드들

ASEC 분석팀에서는 과거 애드웨어 및 PUP 프로그램을 통해 유포되는 BeamWinHTTP 악성코드를 다루었다. 사용자가 크랙이나 키젠과 같은 프로그램을 설치하기 위해 피싱 페이지에서 설치 파일을 다운로드 받아 설치할 때 추가적으로 각종 PUP 및 BeamWinHTTP 악성코드가 설치되며, BeamWinHTTP는 추가적으로 정보 유출 악성코드 즉 인포스틸러들을 설치하였다. 구글 같은 검색 엔진에서 프로그램의 이름 및 크랙이나 키젠과 같은 키워드를 검색할 경우 다음과 같이 가짜 단축 url 링크가 걸려있는 웹 페이지들이 확인될 때가 있다. 단축 url은 아래의 예시에서는 “hxxps://imgfil[.]com”이며, 이외에도 “hxxps://blltly[.]com”도 확인된다. “imgfil[.]com”은 “https://imgflip.com”을 사칭하는 것으로 추정되며,…

Vidar 인포스틸러 악성코드 정보 유출 기능 분석

Vidar는 사용자 정보를 유출하는 기능을 갖는 인포스틸러 악성코드이다. 아래의 주간 통계에서도 확인 되듯 Top 5 안에는 포함되지 않지만 꾸준히 일정 비율을 차지하고 있으며, 한동안 Top 5에도 포함되었던 이력을 보면 다시 그 유포량이 증가할 수 있다. https://asec.ahnlab.com/1375 최근 한 달 동안 확인된 유포 파일 개수는 아래의 표와 같다. 모두 “build.exe”라는 이름으로 유포되고 있으며, (윈도우 정품인증을 위한) KMSAuto로 위장한 설치 파일 내부에 존재하는 공통점이 있다. 날짜 유포 파일 수 날짜 유포 파일 수 날짜 유포 파일 수 날짜 유포 파일 수 8월…

[주의] KMSAuto 인증 툴을 위장하여 유포 중인 Vidar 인포스틸러

ASEC 분석팀은 최근 Vidar 인포스틸러 악성코드가 KMSAuto, KMSPico 인증 툴을 위장한 악성코드들을 통해 유포 중인 것을 확인하였다. 사용자들은 윈도우 정품 인증을 목적으로 인증 툴을 사용하지만 실제로는 인포스틸러 악성코드에 의해 웹 브라우저, FTP 클라이언트, 지갑 주소를 포함한 다수의 사용자 정보들이 공격자에 유출될 수 있으며, 다운로더 기능을 가진 Vidar의 특성 상 추가 악성코드가 다운로드되어 설치될 수 있다. KMSAuto, KMSPico는 윈도우 정품 인증을 위한 불법 인증 툴로서 다수의 일반 사용자들이 인터넷에서 다운로드 및 사용되는 프로그램이다. 이렇게 사용자 수가 많은 만큼 악성코드들도 이를 악용하는데,…