악의적인 공격자들은 무방비 상태의 대상으로부터 정보를 훔칠 수 있는 다양한 도구를 보유하고 있습니다. 최근 몇 년 동안 Vidar 스틸러가 점점 더 많이 사용되고 있습니다. 이 악성 코드는 기기를 몰래 감염시켜 광범위한 정보를 훔쳐 공격자에게 다시 전달하는 데 매우 효과적입니다.
하지만 Vidar 스틸러는 정확히 무엇이며, 이러한 공격은 어떤 방식으로 작동하는 걸까요?
Vidar 스틸러란 무엇인가요?
Vidar 스틸러(Vidar 스파이웨어라고도 함)는 기기를 공격하여 기기 시스템 내의 개인 정보와 암호화폐 지갑의 세부 정보를 훔치는 것을 목표로 하는 특정 유형의 악성 코드입니다. 하지만 Vidar는 기기에 랜섬웨어를 전달하는 방법으로도 사용되기도 합니다.
Vidar 봇넷은 2018년부터 존재해 왔지만 정확한 출처는 밝혀지지 않았습니다. 그러나 2023년 11월의 인터뷰에서 이 악성 코드가 Arkei 트로이 목마의 진화된 버전임을 확인했습니다. 이 악성 코드는 서비스형 멀웨어로 작동하며 다크웹의 개발자 웹사이트에서 직접 구매할 수 있습니다.
Vidar 악성 코드는 특히 명령 및 제어 인프라(또는 C2 통신)를 활용하는 방식으로 유명합니다. 주로 텔레그램이나 마스토돈과 같은 소셜 미디어 네트워크를 통해 발생하며, 최근에는 소셜 게임 플랫폼인 Steam에서도 발생했습니다.
Vidar 스틸러는 어떻게 작동하나요?
Vidar는 일반적으로 C2 인프라 및 프로세스의 일부로 소셜 미디어를 사용합니다. 특정 소셜 네트워크 프로필에 대한 주소가 Vidar 악성 코드에 포함되는 경우가 많으며, 여기에는 사양에 관련 C2 IP 주소가 포함됩니다. 이를 통해 스파이웨어는 IP 주소와의 통신, 파일 및 지침 다운로드, 추가 악성 코드 설치 등을 통해 프로필을 장악할 수 있습니다.
그러나 Vidar 봇넷의 핵심 기능은 인포스틸러이기 때문에 감염된 기기에서 중요한 정보를 수집하고 이 데이터를 공격자에게 전송하는 것이 주요 기능입니다. Vidar가 훔칠 수 있는 정보에는 다음과 같은 다양한 유형이 있습니다:
- 운영 체제 데이터
- 로그인 자격 증명
- 신용카드 또는 은행 정보
- 브라우저 기록
- 브라우저 쿠키
- 기기에 설치된 소프트웨어
- 다운로드한 파일
- 암호화폐 지갑 — 특히, Exodus, Ethereum, MultiDoge, Atomic, JAXX, and ElectronCash
- 스크린샷
- 이메일
- FTP 자격 증명
Vidar가 기기에 악성 코드를 설치하는 데 사용된 경우, C2 인프라를 사용하여 감염된 파일을 다운로드할 링크를 지정한 다음 이를 실행하는 경우도 있습니다. 이렇게 하면 공격자는 기기에 접근할 수 있으며, 이를 악의적인 목적으로 사용하거나 다크 웹에서 다른 사이버 범죄자에게 판매할 수 있습니다.
컴퓨터에 다운로드된 후에는 여러 가지 방법을 사용하여 탐지되지 않습니다. Vidar 스틸러는 백신 스캐너의 탐지를 피하기 위해 대용량 실행 파일을 사용하는 경우가 많습니다. 전문가들이 면밀히 분석한 결과, Vidar 샘플 파일은 파일 끝에 0바이트(또는 .exe 파일 끝에 0)가 포함되어 있어 파일 크기를 인위적으로 부풀린다는 사실을 발견했습니다. 파일 크기가 너무 크기 때문에 악성 코드 방지 소프트웨어의 파일 제한을 초과하여 파일 분석을 건너뛰는 경우가 많습니다. 또한 Vidar 파일은 문자열 인코딩과 암호화를 사용하여 보안 소프트웨어가 분석하기 어렵게 만드는 경우가 많습니다. 또한 만료된 디지털 인증서로 인증된 파일을 사용합니다.
해당 기기를 감염시키고 가능한 한 많은 정보를 훔친 후 Vidar 트로이 목마는 모든 데이터를 ZIP 파일로 압축하여 명령 서버로 보냅니다. 그런 다음 악성 코드는 기기 시스템 내에서 모든 증거를 스스로 파괴하고 삭제합니다. 이 때문에 Vidar 악성 코드 공격을 조사하는 것은 매우 복잡합니다.
Vidar는 어떻게 확산되나요?
Vidar 악성 코드는 거의 대부분 스팸 이메일을 통해 유포됩니다. 공격 대상은 일반적으로 온라인 쇼핑 청구서 또는 서브스크립션 갱신 확인 이메일과 유사하게 보이는 요청하지 않았지만 무해해 보이는 이메일을 받게 됩니다. 일반적으로 이러한 이메일에는 첨부 파일이 포함되어 있으며, 공격자는 이 첨부 파일을 열어 자세한 정보를 확인하도록 유도합니다. 그러나 Vidar 악성 코드는 첨부 파일에 포함되어 있으며 공격자가 첨부 파일을 열면 악성 코드가 배포됩니다.
가장 일반적인 첨부 파일은 매크로 스크립트를 사용하는 Microsoft Office 문서입니다. 따라서 문서를 열면 사용자에게 매크로 실행을 활성화하라는 메시지가 표시됩니다. 이렇게 하면 기기가 악성 코드 서버에 연결되고 Vidar 스틸러를 다운로드할 수 있게 됩니다. Vidar 악성 코드의 공격을 방지하기 위해 Microsoft는 매크로 실행 방식을 변경했습니다.
그러나 이는 사이버 범죄자들이 Vidar 트로이 목마를 유포하는 다른 방법을 찾았다는 것을 의미합니다. 여기에는 다음이 포함됩니다.
- 첨부 ISO 파일: Vidar 멀웨어는 이메일을 통해 첨부 파일 ISO 파일로 전달될 수도 있으며, 감염된 Microsoft 컴파일된 HTML 도움말(CHM) 파일 등과 같은 첨부 파일을 열면 악성 코드가 실행되는 실행 가능한 “app.exe” 파일과 같은 파일도 있습니다.
- .zip 압축 파일: 한 특정 사례에서 공격자는 패션 브랜드 H&M을 사칭하여 피싱 이메일을 보내 수신자가 계약 및 결제 정보에 접근하려면 .zip 압축 파일을 다운로드해야 하는 Google 드라이브 폴더로 이동하도록 유도했습니다. 그러면 이 파일에서 Vidar 스틸러 공격이 시작됩니다.
- 악성 설치 프로그램: 공격자는 사용자가 다운로드할 수 있는 Adobe Photoshop 또는 Zoom과 같은 합법적인 소프트웨어의 악성 설치 프로그램에 Vidar 스파이웨어를 삽입하여 스팸 이메일의 첨부 파일로 공격 대상에게 전달할 수 있습니다.
- Google 검색 광고: 최근 Vidar를 유포하는 가장 일반적인 방법 중 하나는 스크립트 내에 악성 코드가 삽입된 Google 검색 광고를 이용하는 것입니다. 공격자는 합법적인 소프트웨어 배포자의 광고를 매우 유사하게 모방한 Google 광고를 만들고, 이를 의심하지 않는 사용자가 이 소프트웨어를 다운로드하여 실행하면 악성 코드가 실행되어 사용자의 기기가 감염됩니다.
- 랜섬웨어 연관성: 일부 경우 Vidar 봇넷은 STOP/Djvu, GandCrab과 같은 다양한 랜섬웨어 또는 PrivateLoader, Smoke와 같은 악성 코드와 함께 공격을 실행했습니다. 이러한 고도의 악성 공격에서는 두 악성 코드가 함께 유포되어 더 광범위한 감염과 데이터 도난, 그리고 기기가 감염된 사용자에게 문제가 발생합니다.
Vidar 스틸러로부터 보호하는 방법: 5가지 필수 팁
Vidar 스틸러는 사용자 데이터와 시스템 정보를 훔칠 수 있을 뿐만 아니라 더 많은 유형의 악성 코드를 전달하는 데 사용될 수 있습니다. 따라서 개인과 기업은 Vidar 트로이 목마의 공격 가능성을 방지하기 위한 조치를 취해야 합니다. 다음은 유용한 5가지 예방 방법입니다:
- 이러한 종류의 사이버 위협을 모니터링하고 해당 위협을 차단하는 바이러스 백신 및 웹 보호 소프트웨어를 사용합니다.
- 이메일 보안 솔루션을 사용하여 수신되는 모든 이메일을 검사하고 잠재적으로 의심스러운 메시지를 차단합니다.
- 비밀번호 관리자 사용, 복잡한 비밀번호 생성, 정기적인 비밀번호 변경 등 비밀번호 관련 모범 사례를 숙지합니다.
- 모든 소프트웨어와 운영 체제를 최신 상태로 유지하여 최신 보안 패치가 적용되도록 합니다.
- 컴퓨터에서 정기적으로 전체 시스템 검사를 실행하여 탐지되지 않은 Vidar 스파이웨어 또는 기타 감염이 있는지 확인하고 제거합니다.
이는 잠재적인 보안 침해 및 악의적인 활동에 대처하기 위한 종합적인 전략의 일부로 가상 사설망(VPN)을 사용하여 기기의 IP 주소를 숨기고 모든 온라인 활동을 암호화하는 등의 조치를 취해야 합니다.
Vidar 스틸러: 지속적인 위협
Vidar 악성 코드는 고도로 기술적인 스파이웨어입니다. 이러한 공격은 스팸 이메일, 광고, 크랙 소프트웨어 또는 기타 수단으로 시작되는 경우가 많지만, Vidar가 훔칠 수 있는 정보의 양이 방대하기 때문에 더 위험한 경우가 많습니다. 이를 통해 공격자는 추가 범죄를 실행하거나 다크 웹에서 판매할 수 있는 방대한 양의 정보를 확보할 수 있습니다. 그러나 기본적인 인터넷 및 이메일 안전 모범 사례를 숙지하면 Vidar의 위협과 이러한 공격의 성공을 최소화할 수 있습니다.
Kaspersky Premium과 함께 Kaspersky Safe Kids 1년 무료 이용권도 받으십시오. Kaspersky Premium이 AV-TEST에서 최우수 보호, 최우수 성능, 가장 빠른 VPN, 입증된 Windows용 자녀 보호, 최우수 Android용 자녀 보호 기능으로 5관왕에 올랐습니다.
연관 문서 및 링크:
연관 제품 및 서비스:
