상세 컨텐츠

본문 제목

기업 사용자들을 대상으로 대량 유포중인 Vidar 악성코드 주의!

악성코드 분석 리포트

by 알약4 2022. 12. 5. 17:25

본문

 

안녕하세요 
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 

금일 오후부터 기업들을 대상으로 Vidar 악성코드가 첨부된 악성 이메일이 대량으로 유포되고 있어 각별한 주의가 필요합니다. 

공격자는 기업의 이메일 계정을 대상으로 대량으로 악성 메일을 유포하였으며, 여기에는 외부에 공개된 회사 공식 이메일 계정 뿐만 아니라 개인 회사 이메일 계정도 포함되어 있습니다. 

 

 

[그림 1] 저작권법 위반 위장 피싱 메일



[그림 저작권법 위법 관하여 연락 드립니다]라는 제목과 함께 다음 내용으로 발송되었습니다.

 

 

저희들은 직영 업무를 대리받아 개발회사를 대리하여 본 내용증명을 말하는 바이며, 

개발회사는 수많은 저작물을 국내에 배포를 하고 있으며 본 내용증명을 통해 정식적인 게시를 안내하고 저작권침해를 최소화하는 말씀을 드리고 있습니다.

본인께서는 저작권법 침해로 게시하고 있습니다.

본 회사는 위반에 따른  금액을 요구하는게 아닙니다.

본 회사는 빠른 조치를 요청합니다.

이에 아래와같은 내용증명을 고지합니다.



공격자는 '내용증명', '저작권법 침해' 등과 같은 법률용어를 사용하여 수신자의 불안감을 유발하고, 첨부파일 실행을 유도하고 있습니다. 

만일 사용자가 첨부 파일을 내용증명으로 오인하여 실행하면, 공격자는 원격 템플릿 인젝션 기술(Remote Template Injection)을 사용하여 특정 URL에서 악성 매크로가 포함된 dotm 파일을 내려받습니다. 

 

 

[그림 2] 워드 실행 시 자동으로 다운로드 되는 .dotm

 

 

[그림 3] word 파일 내 원격 템플릿 인젝션 코드

 


원격 템플릿 인젝션 기술(Remote Template Injection)은 실제 유포중인 .docx 파일 내에는 매크로가 포함되어 있지 않기 때문에 쉽게 보안제품을 우회할 수 있기 때문에 공격자들이 최근 많이 악용하는 공격 방법중 하나입니다. 

 

내려받은 dotm에는 다음과 같은 스크립트가 포함되어 있습니다.

 

 

[그림 4] .dotm 파일 내 포함되어 있는 스크립트

 

 

이후 사용자가 [콘텐츠 사용] 버튼을 누르면 자동으로 다운로드 된 q8vu77.dotm 파일 내에포함되어 있던 VBA 매크로가 실행되며 공격자가 미리 설정해 놓은 hxxps://transfer[.]sh/get/wur9fF/에 접속하여 bulid.exe 파일을 내려받아 C:\User\Public\489456fd849h849gre.exe 파일명으로 저장 후 실행합니다. 

 

 실행 후에는 특정 텔레그램이나 스팀 프로필에 접속하여 C&C 주소를 받아와 해당 주소로 접속합니다.

 

 

[그림 5] 텔레그램 프로필에 적힌 c2 정보

 

[그림 6] 스팀 프로필에 적힌 c2 정보

 

 

다운로드 되는 압축파일 내에는 정보 유출에 필요한 정상 dll 파일들이 포함되어 있습니다. 

 

 

[그림 7] 내려받는 dll 파일

 

 

C&C서버 접속과 동시에 크롬(Chrome), 엣지(Edge) 브라우저에 저장되어 있는 정보들을 수집하여 ProgramData 폴더로 복사 후, 사용자 시스템 정보 수집을 시작합니다.

 

수집하는 브라우저 정보

쿠키(Cookies), 방문기록(History), 저장되어 있는 계정정보(Login Data), 웹데이터(Web Data)

 

수집하는 사용자 시스템 정보

Date, MachineID, GUID, HWID, Path, Work Dir, Windows, Computer Name, User Name, Display Resolution, Display Language, Keyboard Languages, Local Time, TimeZone, 하드웨어 정보(Processor, CPU Count, RAM, VideoCard), 프로세스 목록, 설치된 소프트웨어 목록

 

이밖에도 WinSCP, FileZila 같은 FTP 프로그램의 정보, Tronium, Trust Wallet, bitwarden, Hashpack 같은 가상화폐 프로그램 관련 정보들도 함께 수집됩니다.

 

정보 수집이 완료되면 현재 동작중인 화면을 찍은 screenshot.jpg 파일과 함께 수집 정보와 시스템 정보를 취합한 파일들을 압축하여 116.202.6[.]206로 전송합니다.

 

 

[그림 8] 유출하는 정보

 

 

피싱메일을 통해 악성코드가 지속적으로 유포되고 있는 만큼, 개인 및 기업 사용자 여러분들께서는 각별한 주의를 기울이시기 바랍니다. 

현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen , Trojan.PSW.Vidar로 탐지중에 있습니다.

 

 

 

 

 

 

 

 

 

 

 

 

관련글 더보기

댓글 영역