비다르 인포스틸러의 작동 방식
API 후킹에서 은밀한 데이터 유출까지
아리아카 위협 연구소는 서비스형 멀웨어(MaaS) 모델로 오랫동안 판매되어 온 인포스틸러인 Vidar의 새로운 변종을 분석했습니다. 2018년부터 Vidar는 암호화된 C2 채널, LOLBin 악용, 은밀한 유출을 통해 진화하여 최신 방어 체계에 효과적으로 대응하고 있습니다.
Windows 시스템을 표적으로 삼아 브라우저 자격 증명, 암호화폐 지갑, 2FA 데이터, 메시징 토큰, 개인 문서 등 광범위한 자산을 탈취한 후 재판매 또는 추가 악용을 위해 공격자 인프라로 유출합니다.
주요 인사이트는 다음과 같습니다:
- 암호화된 명령 및 제어(C2) 채널을 통한 스텔스 기능 강화
- 지속성 및 회피를 위한 LOL빈(Living-off-the-Land Binaries) 남용
- 광범위한 데이터 도난 기능을 갖춘 Windows 환경 타깃팅
- 자격 증명, 쿠키, 신용카드, 지갑, 2FA 데이터, 토큰, 문서 및 스크린샷을 수집합니다.
- 지하 시장에서 재판매 또는 추가 악용을 위해 데이터가 패키지화되어 유출됩니다.
