악명 높은 정보 도둑으로 알려진 비다르 TikTok, Telegram, Steam 및 Mastodon과 같은 인기 있는 소셜 미디어 서비스를 중간 명령 및 제어(C2) 서버로 계속 활용하고 있습니다.
안철수연구소 보안긴급대응센터(ASEC)는 지난달 말 공개한 기술적 분석에서 “사용자가 온라인 플랫폼에서 계정을 생성하면 누구나 접근할 수 있는 고유한 계정 페이지가 생성된다”고 밝혔다. “공격자는 이 페이지의 일부에 식별 문자와 C2 주소를 씁니다.”
즉, 이 기술은 C2 주소를 검색하기 위해 소셜 미디어에서 생성된 행위자가 제어하는 일회용 계정에 의존합니다.
이 접근 방식의 장점은 C2 서버가 다운되거나 차단되는 경우 공격자가 새 서버를 설정하고 계정 페이지를 편집하여 이전에 배포된 맬웨어가 서버와 통신할 수 있도록 허용함으로써 제한을 쉽게 우회할 수 있다는 것입니다.
2018년에 처음 발견된 Vidar는 손상된 호스트에서 광범위한 정보를 수집할 수 있는 상용 상용 멀웨어입니다. 일반적으로 전파를 위해 피싱 이메일 및 크랙된 소프트웨어와 같은 전달 메커니즘에 의존합니다.
ASEC 연구원은 “정보 수집이 완료되면 탈취된 정보는 ZIP 파일로 압축돼 Base64로 인코딩돼 C2 서버로 전송된다”고 말했다.
최신 버전의 악성코드(버전 56.1)에서 새로운 점은 수집된 데이터가 추출되기 전에 인코딩된다는 것입니다. 이는 압축 파일 데이터를 일반 텍스트 형식으로 전송하는 것으로 알려진 이전 변종에서 변경된 것입니다.
연구원들은 “비다르가 C2를 중개하는 플랫폼으로 유명한 플랫폼을 사용하기 때문에 수명이 길다”고 말했다. “6개월 전에 생성된 위협 행위자의 계정은 여전히 유지되고 있으며 지속적으로 업데이트되고 있습니다.”
이 악성코드는 악의적인 Google Ads와 범블비(Bumblebee)라는 악성코드 로더를 포함하여 다양한 방법을 사용하여 배포되고 있다는 최근 발견 가운데 이루어졌습니다. 후자는 Exotic Lily 및 Projector Libra로 추적되는 위협 행위자에 기인합니다.
위험 컨설팅 회사인 Kroll은 지난 달 발표한 분석에서 GIMP 오픈 소스 이미지 편집기에 대한 광고를 발견했다고 밝혔습니다. 이 광고는 Google 검색 결과에서 클릭했을 때 피해자를 Vidar 악성코드를 호스팅하는 타이포스쿼팅된 도메인으로 리디렉션했습니다.
오히려 위협 환경에서 맬웨어 전달 방법의 진화는 부분적으로 2022년 7월 이후 인터넷에서 다운로드한 Office 파일에서 기본적으로 매크로를 차단하기로 한 Microsoft의 결정에 대한 대응입니다.
이로 인해 MotW(Mark of the Web) 보호를 우회하고 맬웨어 방지 스캐닝 조치를 회피하기 위해 이메일 첨부 파일에서 ISO, VHD, SVG 및 XLL과 같은 대체 파일 형식의 남용이 증가했습니다.
ASEC 연구원들은 “디스크 이미지 파일은 MotW 기능을 우회할 수 있습니다. 그 안에 있는 파일이 추출되거나 마운트될 때 MotW가 파일에 상속되지 않기 때문입니다.”라고 ASEC 연구원은 HTML 밀수와 VHD 파일의 조합을 활용하여 멀웨어.