* 출처는 안랩입니다.
2026년 07월 07일

1. 개요
2018년 최초로 확인된 Vidar는 서비스형 악성코드(MaaS : Malware-as-a-service) 모델로 운영되면서 최근까지도 지속적으로 다양한 공격 사례들을 통해 유포되고 있다. AhnLab SEcurity intelligence Center(ASEC)은 국내 대상 Vidar 유포 사례를 모니터링하고 있으며 여기에서는 2026년 상반기에 확인된 Vidar 유포 사례들을 정리한다.
2. 피싱 메일
2026년 상반기에 확인된 Vidar 유포 피싱 메일 공격들은 모두 동일한 공격자의 소행으로 추정된다. Go 언어로 제작된 외형으로 패킹하였다는 점이나 유포에 사용된 키워드, 동일한 C&C 서버 주소를 사용하는 유형들 등을 보면 특정 공격자가 며칠 간격으로 Vidar를 제작해 지속적으로 유포 중인 것으로 보인다.
공격자는 “입사지원서”, “저작권 위반” 키워드를 주로 사용하고 있으며 파일명 기준 날짜를 제외하면 몇 주 동안 동일한 이름을 사용해 유포하고 있다.
- 입사지원서_성실한근무태도로임하겠습니다_26년06월04일.exe
- 260511저작권 관련 조항및 침해내용 정리리스트 (이미지, 아이콘, UI 등등).exe
- 긍정적이며_책임감있는_지원자_26년04월21일 이력서.exe
- 이력서_260219_모든일에 성실하고 한결같은 자세로 임하는 지원자가 되겠습니다.exe
- 260113 저작권 관련 조항및 침해내용 정리리스트 (이미지, 아이콘, UI 등등) ..exe
다음은 공격에 사용된 피싱 메일들이며 첨부 파일 이름과 동일하게 본문의 내용에도 이력서를 위장하고 있다.

Figure 1. Vidar 유포에 사용된 악성코드 유포 메일 본문
3. Vidar 분석
3.1. 패커
Vidar는 워드 문서 파일을 위장한 아이콘을 가지고 있으며 Go 언어로 제작된 패커 외형으로 유포된다. 패커는 실행 시 내부에 존재하는 실제 Vidar를 복호화 한 후 메모리에서 실행한다.

Figure 2. Go 외형의 패커
3.2. 초기 통신
Vidar는 지속적으로 업데이트되고 있으며 C/C++로 제작된다. 최근 유포되고 있는 유형은 분석을 방해하기 위한 목적으로 코드와 데이터를 난독화하한 것이 특징이다. 이외에도 NtGlobalFlag 검사와 같은 Anti Debugging 기법과 CPU, RAM, 디스크 크기 등을 검사하는 Anti VM 기법 그리고 사용자 이름이나 컴퓨터 이름을 검사하는 Anti Sandbox 기능이 존재한다.
Vidar는 C&C 서버와의 통신 시 Dead Drop Resolver(DDR) 기법을 사용한다. 공격자는 C&C 서버 주소를 Telegram 및 Steam의 프로필 페이지에 적어놓으며 이후 Vidar가 해당 프로필 페이지에 접속해 실제 C&C 서버 주소를 구하는 방식이다. 2026년 6월 공격 사레에서 확인된 Vidar는 다음과 같이 Telegram과 Steam 프로필 페이지에 각각의 C&C 서버 주소를 지정하였으며 Telegram 프로필에 먼저 접속한 후 C&C 서버 주소가 확인되지 않을 경우 Steam 프로필 페이지에서 C&C 서버 주소를 구한다. 참고로 “ar3k0″은 Vidar가 가지고 있는 마커로서 해당 키워드부터 구분자 사이의 주소를 C&C 서버 주소로 인지한다.

Figure 3. DDR 기법에 사용된 Telegram, Steam 프로필 페이지
마커 문자열 “ar3k0″와 Telegram / Steam 프로필 페이지 주소 그리고 버전 정보 “1.9”, “build_id” 값인 “7dd16d1018865e5e817c418f87e6be00″는 바이너리에 하드코딩되어 있으며 “hwid”는 볼륨 시리얼 번호와 하드웨어 정보 등을 조합해서 생성한다.
3.3. 인증 및 명령 다운로드
이후 C&C 서버와 통신하는데 최초 통신 시 “hwid”, “format”, “build_id”를 전달한다.

Figure 4. 최초 통신 시 전송 데이터
전달받은 데이터를 복호화하면 다음과 같이 json 포맷의 설정 정보를 확인할 수 있다.

Figure 5. 다운로드된 설정 정보
| 항목 | 기능 |
|---|---|
| Cookies | 웹 브라우저 쿠키 정보 탈취 |
| History | 웹 브라우저 히스토리 정보 탈취 |
| cryptocurrency | 암호 화폐 정보 탈취 |
| steal_discord | Discord 정보 탈취 |
| request | “id_request” |
| telegram | Telegram 정보 탈취 |
| screenshot | 스크린샷 탈취 |
| steam | Steam 정보 탈취 |
| delete | 사용되지 않음 |
| loader | 추가 페이로드 또는 명령 다운로드 및 실행 |
| grabber_size_max | 파일 탈취 최대 사이즈 |
| azure | Azure 정보 탈취 |
| shell_code | 사용되지 않음 |
| debug | N/A |
| thread_count | N/A |
| zip_theshold | N/A |
| token | 이후 통신에서 사용할 토큰 값 |
Table 1. 설정 정보
* 전체내용은 아래에서 확인하세요.
https://asec.ahnlab.com/ko/94362/







