비교하고 잘 사는, 다나와 : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

피싱 메일을 통해 유포 중인 Vidar 인포스틸러

IP
2026.07.11. 06:40:24
조회 수
55
4
댓글 수
5

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.



2026년 07월 07일

피싱 메일을 통해 유포 중인 Vidar 인포스틸러

1. 개요

2018년 최초로 확인된 Vidar는 서비스형 악성코드(MaaS : Malware-as-a-service) 모델로 운영되면서 최근까지도 지속적으로 다양한 공격 사례들을 통해 유포되고 있다. AhnLab SEcurity intelligence Center(ASEC)은 국내 대상 Vidar 유포 사례를 모니터링하고 있으며 여기에서는 2026년 상반기에 확인된 Vidar 유포 사례들을 정리한다. 

 

2. 피싱 메일

2026년 상반기에 확인된 Vidar 유포 피싱 메일 공격들은 모두 동일한 공격자의 소행으로 추정된다. Go 언어로 제작된 외형으로 패킹하였다는 점이나 유포에 사용된 키워드, 동일한 C&C 서버 주소를 사용하는 유형들 등을 보면 특정 공격자가 며칠 간격으로 Vidar를 제작해 지속적으로 유포 중인 것으로 보인다.

 

공격자는 “입사지원서”, “저작권 위반” 키워드를 주로 사용하고 있으며 파일명 기준 날짜를 제외하면 몇 주 동안 동일한 이름을 사용해 유포하고 있다. 

 

  • 입사지원서_성실한근무태도로임하겠습니다_26년06월04일.exe
  • 260511저작권 관련 조항및 침해내용 정리리스트 (이미지, 아이콘, UI 등등).exe
  • 긍정적이며_책임감있는_지원자_26년04월21일 이력서.exe
  • 이력서_260219_모든일에 성실하고 한결같은 자세로 임하는 지원자가 되겠습니다.exe
  • 260113 저작권 관련 조항및 침해내용 정리리스트 (이미지, 아이콘, UI 등등) ..exe

 

다음은 공격에 사용된 피싱 메일들이며 첨부 파일 이름과 동일하게 본문의 내용에도 이력서를 위장하고 있다.

 

Figure 1. Vidar 유포에 사용된 악성코드 유포 메일 본문

 

3. Vidar 분석

3.1. 패커

Vidar는 워드 문서 파일을 위장한 아이콘을 가지고 있으며 Go 언어로 제작된 패커 외형으로 유포된다. 패커는 실행 시 내부에 존재하는 실제 Vidar를 복호화 한 후 메모리에서 실행한다.

 

Figure 2. Go 외형의 패커

 

3.2. 초기 통신

Vidar는 지속적으로 업데이트되고 있으며 C/C++로 제작된다. 최근 유포되고 있는 유형은 분석을 방해하기 위한 목적으로 코드와 데이터를 난독화하한 것이 특징이다. 이외에도 NtGlobalFlag 검사와 같은 Anti Debugging 기법과 CPU, RAM, 디스크 크기 등을 검사하는 Anti VM 기법 그리고 사용자 이름이나 컴퓨터 이름을 검사하는 Anti Sandbox 기능이 존재한다.

 

Vidar는 C&C 서버와의 통신 시 Dead Drop Resolver(DDR) 기법을 사용한다. 공격자는 C&C 서버 주소를 Telegram 및 Steam의 프로필 페이지에 적어놓으며 이후 Vidar가 해당 프로필 페이지에 접속해 실제 C&C 서버 주소를 구하는 방식이다. 2026년 6월 공격 사레에서 확인된 Vidar는 다음과 같이 Telegram과 Steam 프로필 페이지에 각각의 C&C 서버 주소를 지정하였으며 Telegram 프로필에 먼저 접속한 후 C&C 서버 주소가 확인되지 않을 경우 Steam 프로필 페이지에서 C&C 서버 주소를 구한다. 참고로 “ar3k0″은 Vidar가 가지고 있는 마커로서 해당 키워드부터 구분자 사이의 주소를 C&C 서버 주소로 인지한다.

 

Figure 3. DDR 기법에 사용된 Telegram, Steam 프로필 페이지

 

마커 문자열 “ar3k0″와 Telegram / Steam 프로필 페이지 주소 그리고 버전 정보 “1.9”, “build_id” 값인 “7dd16d1018865e5e817c418f87e6be00″는 바이너리에 하드코딩되어 있으며 “hwid”는 볼륨 시리얼 번호와 하드웨어 정보 등을 조합해서 생성한다.

 

3.3. 인증 및 명령 다운로드

이후 C&C 서버와 통신하는데 최초 통신 시 “hwid”, “format”, “build_id”를 전달한다.

 

Figure 4. 최초 통신 시 전송 데이터

 

전달받은 데이터를 복호화하면 다음과 같이 json 포맷의 설정 정보를 확인할 수 있다.

 

Figure 5. 다운로드된 설정 정보

 

항목 기능
Cookies 웹 브라우저 쿠키 정보 탈취
History 웹 브라우저 히스토리 정보 탈취
cryptocurrency 암호 화폐 정보 탈취
steal_discord Discord 정보 탈취
request “id_request”
telegram Telegram 정보 탈취
screenshot 스크린샷 탈취
steam Steam 정보 탈취
delete 사용되지 않음
loader 추가 페이로드 또는 명령 다운로드 및 실행
grabber_size_max 파일 탈취 최대 사이즈
azure Azure 정보 탈취
shell_code 사용되지 않음
debug N/A
thread_count N/A
zip_theshold N/A
token 이후 통신에서 사용할 토큰 값

Table 1. 설정 정보


* 전체내용은 아래에서 확인하세요.

https://asec.ahnlab.com/ko/94362/



공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
아침부터 강력한 햇살입니다 (1)
넘치는 것은 모자란 것과 다를 바 없습니다 (5)
[응모 완료] 2026 상반기 다나와 히트브랜드 첫번째 이벤트 스탬프를 모아라! (10)
무척이나 더운 날이 되려나 봐요. (4)
중국의 희생 정신 (8)
중국 학생들이 만든 전투기 모형 (8)
피싱 메일을 통해 유포 중인 Vidar 인포스틸러 (5)
습도 높고 맑은 날씨에 토요일이네요. (5)
무더운 날씨입니다. (8)
토요일이라 마음 편하게 먹는 야식과 간식 (7)
아프리카 SNS 주장... (9)
7월 10일 박스오피스 (8)
참외가 도착했어요 (8)
댓글로 FLEX! 창고 대방출 당첨자 나왔네요 (13)
로또 열렸네요 (8)
알리결제는 마스터 카드 결제보다 네이버페이가 더 저렴하네요 (16)
제 컴퓨터 사양인데 (12)
금요일 오후네요 (10)
챗GPT 5.6 나왔습니다 (10)
이삿짐센터 예약은 언제부터? (12)
이 시간 HOT 댓글!
1/4