Vidar 악성코드, ‘반품 요청(상품 파손)’ 메일로 위장해 유포 중!

 

 

최근 온라인 쇼핑몰 판매업체들을 대상으로 배송 상품 파손을 사유로 반품을 요청하는 피싱 메일이 유포되고 있어 사용자분들의 주의가 필요합니다.

 

이번에 발견된 피싱 메일은 발신자 명에 ‘환불 또는 반품(상품 파손)‘이라는 문구를 넣어 발송되었으며, 메일 본문에는 ‘상세 내용을 첨부했으니 확인해 달라’는 내용으로 첨부파일 열람을 유도하고 있습니다. 

 

[그림 1] 피싱 메일

 

첨부된 파일은 ZIP 형식의 압축 파일로 되어 있으며, 내부에 ALZ 형식의 압축 파일이 들어 있고, 다시 그 안에는 또 다른 ZIP 파일과 EXE 파일이 포함된 형태로, 여러 단계로 다중 압축되어 있습니다.  

이는 보안 프로그램의 탐지를 회피하려는 의도로 추측됩니다. 

 

[그림 2] 여러 단계로 압축된 첨부파일

 

각각의 압축파일에는 ‘배송 당시 상세 사진 및 포장 내외부 배송 정보 포함 기타 사진들. exe’라는 실행파일이 동일하게 존재하고, 해당 파일은 문서파일 아이콘으로 위장되어 있습니다. 

 

사용자가 해당 EXE 파일을 문서파일로 오인하여 실행하게 되면 Golang 언어로 작성된 로더를 통해 악성 행위가 진행됩니다. 

Golang 로더는 파일 내부에 존재하는 6개의 데이터 블록을 특정 로직으로 복호화 하여 “Data.db” 파일에 세팅합니다. 

 

[그림 3] 복호화 코드 일부 화면

 

이후 공격자는 프로세스 할로잉(Process Hollowing) 기법을 활용해 C:\Windows\SysWOW64\explorer.exe 프로세스를 생성하고 메모리를 할당한 뒤, Data.db 파일에 저장된 페이로드를 삽입합니다. 

 

* 프로세스 할로잉(Process Hollowing )기법 이란? 

악성코드가 자신을 정상적인 프로세스처럼 위장하기 위해 사용하는 대표적인 프로세스 인젝션(Injection) 기법으로 정상 프로세스를 Suspended(일시정지) 상태로 실행시킨 다음, 해당 프로세스의 메모리 공간을 지우거나 할당을 해제하여 비워진 공간에 악성 페이로드를 주입시켜 악성행위를 수행하는 방법입니다. 

 

[그림 4] 프로세스 할로잉 코드

 

최종적으로 실행되는 페이로드는 정보 탈취 형 악성코드인 Vidar 악성코드이며, 텔레그램 채널이나 스팀 커뮤니티에 기록된 공격자 서버(C2) 리스트를 통해 추가적인 명령과 파일들을 다운로드 할 수 있습니다.

[그림 5] 텔레그램 채널 및 스팀 커뮤니티에 기록된 C2 정보

 

Vidar 악성코드는 MaaS(Malware-as-a-Service) 형태로 운영되는 악성코드로써, 감염된 시스템에서 사용자의 웹 브라우저 정보, 암호화폐 지갑 정보 및 FTP 클라이언트 정보 등 다양한 개인 정보와 인증정보를 수집할 수 있습니다. 

 

사용자 여러분들께서는 출처가 불분명한 이메일의 첨부파일 실행을 자제하시기 바라며, 파일 실행 전 확장자를 확인하여 EXE 와 같은 실행파일은 실행하지 않도록 각별히 주의하시기 바랍니다. 

 

현재 알약에서는 해당 악성코드에 대해 Trojan.PSW.Vidar 로 탐지하고 있습니다. 

 

Ioc

014D1D435E6E3C65CF6114F47EA011A2