웹사이트 악성광고로 전달돼 사용자 계정정보를 탈취한 다음 감염PC에 랜섬웨어를 내려받아 실행하는 악성코드 '비다르(Vidar)'가 유포됐다.
15일 안랩(대표 권치중)은 비다르 악성코드 유포 사례를 발견했다며 사용자 주의를 당부했다.
비다르 악성코드 유포에 '멀버타이징' 기법이 이용됐다. 멀버타이징은 정상 광고서비스를 악용해 악성코드를 유포시키는 방법이다. 공격자는 불법 성인사이트, 토렌트사이트 등 보안이 취약한 웹사이트에 악성광고를 올렸다.
사용자가 해당 악성광고를 포함한 웹사이트에 접속하면 '폴아웃' 익스플로잇킷이 그 접속환경을 분석한다. 사용자가 인터넷익스플로러(IE) 브라우저 취약점 패치를 안 했을 경우 그걸 통해 비다르 악성코드가 설치된다.
사용자 PC가 감염되면 비다르 악성코드는 PC에서 모든 웹브라우저를 탐색해 아이디, 패스워드 등 웹사이트 계정 데이터를 수집한다. 운영체제(OS) 정보, 네트워크 연결 정보, 하드웨어 정보 등 사용자PC 시스템정보도 공격자에게 전송한다.
이 사용자정보 탈취 동작이 완료되면 갠드크랩(GandCrab) 랜섬웨어가 PC에 다운로드, 실행된다. 랜섬웨어에 감염된 PC 주요 파일이 암호화된다. 복호화 대가 지불 방법을 안내하는 문구가 화면에 나타난다.
관련기사
- "지난해 알약 차단 랜섬웨어공격 140만건"2019.01.15
- 연말정산 안내 메일로 위장한 악성코드 확산2019.01.15
- 악성코드 제작자의 앙심?…V3 지우려다 거듭 실패2019.01.15
- "암호화폐 도둑채굴 위협, 하반기도 지속"2019.01.15
안랩은 사용자가 비다르 악성코드 피해를 예방하려면 OS와 웹브라우저, 응용프로그램, 오피스 소프트웨어 등 프로그램을 최신 버전으로 유지하고 보안 패치를 적용해야 한다고 조언했다. 더불어 사용자에게 보안이 확실하지 않은 웹사이트 방문을 자제하고 V3 등 백신 프로그램 최신 버전 유지 및 실시간 검사 등을 실행하라고 당부했다.
안랩 박태환 ASEC대응팀장은 "비다르 악성코드는 사용자 정보 탈취, 랜섬웨어 감염 등 피해를 동시에 유발한다"며 "피해 방지를 위해 평상시 보안패치를 철저히 하고 수상한 사이트 방문을 자제하라"고 말했다.
