Vidar 惡意軟件屬於偷取者 – 一種旨在偷取特定數據類型的惡意軟件。它可能作為獨立惡意軟件分發,也可能與其他不同的病毒一起出現。例如,它通常與 Djvu 勒索軟件一起到達,使詐騙者可以額外收集個人數據。讓我們進行 Vidar 偷取者分析,找出它有多危險。
什麼是 Vidar 竊取器?
Vidar Stealer是一個惡意應用程序,它在2018年左右從其前身Arkei Stealer中分叉而來。任何stealer的關鍵特徵都是它們能夠悄悄地滑入系統並抓取預定類型的數據。這與spyware的不同之處在於後者通常會取得它能夠接觸到的一切,即使這些信息沒有真正的價值。Stealer在攻擊中經常充當輔助恶意軟件,以補充主要的有效負載。 (詳見鏈接)
Vidar 旨在窃取银行和加密钱包信息,以及其他登录凭据、IP 地址和浏览历史。它可以高效地挖掘Chrome、Opera、基于 Chromium 的浏览器和 Firefox。这使它非常通用,即使在系统中没有使用银行数据或加密钱包,也可能抓取所有其他东西,反之亦然。Vidar 的特点在于针对FTP/WinSCP 连接凭据 – 这些经常被网站管理员和远程工作者使用。此外,如果被攻击的系统中使用了邮件客户端,它还可以获取不同的数据。不过,这些特性并不是唯一的 – 这种恶意软件类型的其他例子也可以像 Vidar 一样灵活地工作。
Vidar 惡意軟件技術分析
在注入並啟動目標系統後, Vidar Stealer 嘗試連接到馬斯托頓社交網絡的頻道。這個網絡假裝是匿名通信的地方,並且至少比其他網絡受到的審查要少。盜取者嘗試連接到 hxxps://mas.to/@oleg98 頻道以獲取命令和控制伺服器(C&C)的 IP 地址。此外,它為每個受感染的機器分配一個唯一的 ID,並向指揮中心發佈它。
當與 C&C 的連接建立時,恶意软件會收到配置数据。這些信息用於創建幫助初始惡意軟件運行的流程鏈。這些是 Devil.exe(確切地說,是 Vidar 的執行文件)、taskkill.exe和timeout.exe。它還呼叫 conhost.exe-默認的Windows控制台實用程序。Taskkill.exe流程可能負責禁用可能破壞惡意軟件功能的進程。 Timeout.exe流程在時間閾值後停止惡意軟件執行並將其從設備中清除。 Vidar及其所有機制均使用C ++編寫。
把功能都放在初始供应中的 Vidar stealer,其密码窃取功能作为一个单独的模块运行。它在接收到配置数据并且流程已经启动后向C&C请求。可能这种操作的目的是使恶意软件更隐蔽,除非安全机制被禁用。通过启发式机制,密码窃取模块相当容易被检测出来,因此最好延迟它的到来。用于提取凭据的库如下:
- freebl3.dll
- mozglue.dll
- msvcp140.dll
- nss3.dll
- softokn3.dll
- cnruntime140.dll
在其活动期间,Vidar stealer 创建了等待提取过程的被盗文件的转储。它们存储在 C:\ProgramData 目录中的临时文件夹中。这些转储被存储为文本文件或者很少是 zip 归档。当过程结束时,这些文件被压缩成一个带有随机名称的单个大的压缩文件,并以这种形式发送到命令和控制服务器。然而,没有对该存档应用加密或密码来控制访问权限。因此,一旦你截获了它或在你的 PC 上找到未发送的存档,你就可以查看 Vidar stealer 获取了关于你的 PC 的哪些信息。
Vidar 竊取者收集的數據存檔
除了提到的数据类别外,Vidar还收集某些系统信息。具体而言,恶意软件记录了其安装路径、操作的日期和时间、硬件信息和已安装软件列表。后者可能是为了了解计算机是真实的还是虚拟机,用于分析病毒。虚拟机在日志中留下特定的迹象,它们的输出数据可能对骗子没有用处。
Vidar抓取的系統信息
Vidar 竊取器 IoC
| Indicator | Value | Note |
| Hash | c40c62b978908e0f5112eee4ae7370fb9c4cc1ed7c90a171be89f6fd8c10b376 | Vidar 竊取文件 |
| Connection | @oleg98@mas.to | Mastodon 社交網絡中的機器人發送回 C&C IP |
| C&C address | hxxp[:]//65.100.80[.]190 | 從上述機器人收到的 IP 地址 |
廣泛分佈於野外的 Vidar 變種
- Trojan:Win32/Vidar.PC!MTB
- Trojan:Win32/Vidar.NX!MTB
- PWS:Win32/VidarStealer.MR!MTB
- Trojan:Win32/Vidar.AA!MTB
Vidar 竊取傳播
在深入了解 Vidar 如何侵入受害者的计算机之前,值得检查一下 Vidar 的销售渠道。除了通常的暗网市场和黑客论坛外,Vidar 开发者还通过 Telegram 提供他们的软件。这个通讯应用程序在过去一年中成为不同骗子的关注点,因为它承诺比其他应用程序更具匿名性。然而,没有人能保证你在从这个 Telegram 频道购买后会收到任何东西。
在 Telegram 組中購買 Vidar 竊取器的報價
当 Vidar 作为一个独立的恶意软件分发时,它的传播渠道与其他窃取者恶意软件非常相似。最常见的方式是电子邮件垃圾邮件,这些邮件模仿真实公司,但包含恶意元素。对于 Vidar 窃取者,这些邮件附带有 MS Office 文件。一旦打开附件,用户将看到要求启用宏执行的提示,而这个动作会触发恶意软件的传输。
很少情况下,Vidar会通过不同的通信平台,例如Facebook、Discord或WhatsApp的消息传播。这种方法需要获得接收者的信任,否则效果将与电子邮件垃圾邮件一样低。结合低数量的消息和更复杂的保护措施来防止诈骗,使这些方法变得不那么有效。
除了作为独立的恶意软件进行传播外,Vidar stealer 还经常作为恶意软件包的一部分传播,与STOP/Djvu勒索软件一起。在过去的几个月中,它与这种勒索软件一起出现,为骗子提供了额外的收入来源。由于他们不会采取双重勒索,这些数据很可能会被出售 – 暗网上有足够的买家愿意购买。在这种情况下,Vidar stealer 成为 Azorult 间谍软件的替代品 – 另一种用于窃取个人数据的工具。与Djvu勒索软件的结合在 Vidar 感染总数中占据了很大一部分。
什麼是 STOP/Djvu 勒索軟件?
STOP/Djvu勒索软件是同名黑客组织的产品。它被提供为勒索软件即服务,并专门针对个人进行攻击。它于2019年左右出现,很快成为领导者,在2020年占据了对个人用户的所有勒索软件攻击的75%以上。这样的成功是熟练的附属机构,广泛的定向传播活动和良好的软件开发的结果。它以拥有一种独特的重打包机制而闻名,该机制改变了文件的部分,使其不可能用基于签名的机制进行检测。现在,它在寻找新的分发方式方面遇到了麻烦,尤其是那些潜在地能够提供与早期一样高的感染率的方式。
被 Djvu 勒索軟件(NUOW 變種)加密的文件
如何保護自己免受竊取者惡意軟件的侵害?
Stealers(窃取软件)和间谍软件一样,依靠其在感染系统中的隐蔽性。它们很少单独行动并破坏系统工作流程。因此,最好给它们最小的进入机会。让我们集中精力,看看什么能帮助您避免这种恶意软件。
永远不要相信电子邮件附件。如上所述,绝大多数 Vidar stealer 注入作为单一恶意软件与电子邮件垃圾邮件相关。与其内容交互,无论是第三方网站的链接还是附加的文件,都是一个坏主意。幸运的是,它们很容易检测出来 – 通过发件人的地址和意外内容的奇怪文本。检查这两个标志将有助于您淘汰绝大多数欺诈电子邮件。
誘餌郵件的典型例子。 附件包含惡意軟件
避免使用盜版內容。這與 Djvu 勒索軟件有關,該軟件經常與 Vidar 窃取者一起出現。大多數提供盜版遊戲或電影的網站都會向您保證它們是沒有病毒的。然而,只有少數情況是乾淨的,儘管不是所有情況都包含勒索軟件。儘管如此,在您的計算機上獲得惡意軟件並違反版權法面臨訴訟,這並不令人愉快。
使用可靠的反恶意软件。当作为最后手段时,你应该拥有一款优秀的安全解决方案,可以有效地捕获和删除计算机中的任何恶意软件。GridinSoft Anti-Malware 是最佳选择,因为它具有完美的检测机制,包含3个元素。此外,它非常轻便 – 当它在后台运行时,你几乎不会感到系统的负担。在6天的免费试用期内,你将能够测试它提供的所有功能。
