비다르 악성코드 탐지: Microsoft 도움말 파일에 숨겨진 페이로드

2022년 2월부터 새로운 비정상적인 멀웨어 배포 방법이 관찰되었습니다. 최신 연구 에 따르면 최소 2018년부터 운영 중인 Vidar 정보 탈취의 재등장 증거가 발견되었습니다. 최신 Vidar 캠페인은 특별한 트릭을 제외하고는 매우 간단합니다. 이번에는 공격자들이 Microsoft의 도움말 파일 내에 페이로드를 숨기는 경향이 있습니다.

Vidar 스파이웨어 는 Arkei 멀웨어의 포크 혹은 발전된 버전으로 여겨집니다. 기능에는 공격자들이 훔치고자 하는 정보 유형에 대한 선호 설정이 포함됩니다. 이전에는 Vidar가 암호 자산, 금융 인증 정보, 다중 인증(MFA) 데이터, 브라우저 기록, 문서 및 쿠키를 탈취하는 것과 관련이 있었습니다.

아래의 최신 콘텐츠 항목을 발견하여 Vidar 정보 훔치기. 

Vidar 스파이웨어를 탐지하는 방법을 알아보세요

위협 전문가들이 개발한 최신 탐지 콘텐츠를 발견하십시오 Osman Demir, Emir Erdogan, 및 Sittikorn Sangrattanapitak 이 SOC Prime의 Detection as Code 플랫폼에 로그인하면 지금 확인하실 수 있습니다. 아래에 제안된 규칙은 Vidar 샘플.

파일의 청소 가능성 (프로세스 생성 경유)

Microsoft 도움말 파일로 위장한 의심스러운 Vidar 멀웨어 실행기 (프로세스 생성 경유)

Vidar/Mars 스틸러 파일 생성 가능성 (파일 이벤트 경유)

위의 규칙은 MITRE ATT&CK® 프레임워크 v.10의 최신 버전에 매핑되며, 다음 기술을 포함합니다:

• 공유 모듈 (T1129)
• 보안되지 않은 자격 증명 (T1552)
• 호스트에서의 지표 제거 (T1070)
• 사용자 실행 (T1204)
• 서명된 이진 프록시 실행 (T1218)

Vidar 활동 전반을 식별할 수 있는 포괄적인 탐지 콘텐츠 목록을 탐색하십시오. 자신의 탐지 콘텐츠를 만들고 싶으신가요? 그렇다면 전 세계의 보안 전문가들을 통합한 우리의 Threat Bounty 프로그램에 참여하세요. 독창적인 탐지 콘텐츠를 제출하고 기여에 대해 반복적인 금전적 보상을 받으십시오.

탐지 보기 Threat Bounty 참여

Vidar 멀웨어 분석

공격 벡터는 일반적으로 피싱 캠페인을 통한 악성 파일 배포에서 시작됩니다. Vidar 배포의 대안 방법은 PrivateLoader 드로퍼와 Fallout 및 GrandSoft와 같은 익스플로잇 키트를 통한 배포를 포함합니다.

정보에 따르면 공격자는 피해자가 읽어야 하는 파일이 있는 진행 중인 커뮤니케이션 체인에서 메시지를 받았다고 믿도록 유도하기 위해 제목이 “Re: Unread…”인 이메일을 발송해왔습니다. 이메일 본문에는 특별한 내용이 없으며, 첨부 파일에는 “중요한 정보”가 포함되어 있다고 명시합니다. 이 첨부 파일은 “request.doc”라는 이름 아래 숨겨진 ISO 파일입니다.

ISO는 공격자가 멀웨어 컨테이너로 사용하는 디스크 이미지 형식입니다. 결과적으로 피해자는 이 ISO 첨부 파일에서 CHM과 EXE 두 파일을 받습니다. 두 파일을 같은 디렉토리에 추출하면 app.exe 파일이 실행됩니다. 이 실행 파일이 Vidar 멀웨어로 불리며 데이터를 수집하여 명령 및 제어(C&C) 서버로 전송하고, 시스템 감지를 피하며, 추가 멀웨어를 다운로드하고, 악성 루틴 끝에 자체 삭제를 수행할 수 있습니다.

사이버 공격 환경이 빠르게 변화하고 있는 지금, 적절한 시기에 올바른 탐지 콘텐츠를 사용하기 위한 최신 연구 활용이 어려울 수 있습니다. 협력적 사이버 방어의 힘을 받아들이고 우리의 SOC Prime Detection as Code 플랫폼에서 즉시 액세스하고 전 세계 사이버 보안 커뮤니티의 가장 명석한 두뇌들이 만든 규칙을 배포할 수 있습니다.