維達爾竊取者。 什麼是 Vidar 惡意軟件?

Vidar Stealer. What is Vidar Malware?
Cryptostealer, Stealer, Spyware, PWS:Win32/Vidar
Written by Brendan Smith

Vidar 惡意軟件屬於偷取者 – 一種旨在偷取特定數據類型的惡意軟件。它可能作為獨立惡意軟件分發,也可能與其他不同的病毒一起出現。例如,它通常與 Djvu 勒索軟件一起到達,使詐騙者可以額外收集個人數據。讓我們進行 Vidar 偷取者分析,找出它有多危險。

什麼是 Vidar 竊取器?

Vidar Stealer是一個惡意應用程序,它在2018年左右從其前身Arkei Stealer中分叉而來。任何stealer的關鍵特徵都是它們能夠悄悄地滑入系統並抓取預定類型的數據。這與spyware的不同之處在於後者通常會取得它能夠接觸到的一切,即使這些信息沒有真正的價值。Stealer在攻擊中經常充當輔助恶意軟件,以補充主要的有效負載。 (詳見鏈接)

Vidar 旨在窃取银行和加密钱包信息,以及其他登录凭据、IP 地址和浏览历史。它可以高效地挖掘Chrome、Opera、基于 Chromium 的浏览器和 Firefox。这使它非常通用,即使在系统中没有使用银行数据或加密钱包,也可能抓取所有其他东西,反之亦然。Vidar 的特点在于针对FTP/WinSCP 连接凭据 – 这些经常被网站管理员和远程工作者使用。此外,如果被攻击的系统中使用了邮件客户端,它还可以获取不同的数据。不过,这些特性并不是唯一的 – 这种恶意软件类型的其他例子也可以像 Vidar 一样灵活地工作。

Vidar 惡意軟件技術分析

在注入並啟動目標系統後, Vidar Stealer 嘗試連接到馬斯托頓社交網絡的頻道。這個網絡假裝是匿名通信的地方,並且至少比其他網絡受到的審查要少。盜取者嘗試連接到 hxxps://mas.to/@oleg98 頻道以獲取命令和控制伺服器(C&C)的 IP 地址。此外,它為每個受感染的機器分配一個唯一的 ID,並向指揮中心發佈它。

Vidar stealer step-by-step

當與 C&C 的連接建立時,恶意软件會收到配置数据。這些信息用於創建幫助初始惡意軟件運行的流程鏈。這些是 Devil.exe(確切地說,是 Vidar 的執行文件)、taskkill.exe和timeout.exe。它還呼叫 conhost.exe-默認的Windows控制台實用程序。Taskkill.exe流程可能負責禁用可能破壞惡意軟件功能的進程。 Timeout.exe流程在時間閾值後停止惡意軟件執行並將其從設備中清除。 Vidar及其所有機制均使用C ++編寫

把功能都放在初始供应中的 Vidar stealer,其密码窃取功能作为一个单独的模块运行。它在接收到配置数据并且流程已经启动后向C&C请求。可能这种操作的目的是使恶意软件更隐蔽,除非安全机制被禁用。通过启发式机制,密码窃取模块相当容易被检测出来,因此最好延迟它的到来。用于提取凭据的库如下:

  • freebl3.dll
  • mozglue.dll
  • msvcp140.dll
  • nss3.dll
  • softokn3.dll
  • cnruntime140.dll

在其活动期间,Vidar stealer 创建了等待提取过程的被盗文件的转储。它们存储在 C:\ProgramData 目录中的临时文件夹中。这些转储被存储为文本文件或者很少是 zip 归档。当过程结束时,这些文件被压缩成一个带有随机名称的单个大的压缩文件,并以这种形式发送到命令和控制服务器。然而,没有对该存档应用加密或密码来控制访问权限。因此,一旦你截获了它或在你的 PC 上找到未发送的存档,你就可以查看 Vidar stealer 获取了关于你的 PC 的哪些信息。

Vidar archive

Vidar 竊取者收集的數據存檔

除了提到的数据类别外,Vidar还收集某些系统信息。具体而言,恶意软件记录了其安装路径、操作的日期和时间、硬件信息和已安装软件列表。后者可能是为了了解计算机是真实的还是虚拟机,用于分析病毒。虚拟机在日志中留下特定的迹象,它们的输出数据可能对骗子没有用处。

Collected sysinfo Vidar stealer

Vidar抓取的系統信息

Vidar 竊取器 IoC

IndicatorValueNote
Hash​c40c62b978908e0f5112eee4ae7370fb9c4cc1ed7c90a171be89f6fd8c10b376Vidar 竊取文件
Connection@oleg98@mas.toMastodon 社交網絡中的機器人發送回 C&C IP
C&C address​hxxp[:]//65.100.80[.]190從上述機器人收到的 IP 地址

廣泛分佈於野外的 Vidar 變種

Vidar 竊取傳播

在深入了解 Vidar 如何侵入受害者的计算机之前,值得检查一下 Vidar 的销售渠道。除了通常的暗网市场和黑客论坛外,Vidar 开发者还通过 Telegram 提供他们的软件。这个通讯应用程序在过去一年中成为不同骗子的关注点,因为它承诺比其他应用程序更具匿名性。然而,没有人能保证你在从这个 Telegram 频道购买后会收到任何东西。

Telegram Vidar group

在 Telegram 組中購買 Vidar 竊取器的報價

当 Vidar 作为一个独立的恶意软件分发时,它的传播渠道与其他窃取者恶意软件非常相似。最常见的方式是电子邮件垃圾邮件,这些邮件模仿真实公司,但包含恶意元素。对于 Vidar 窃取者,这些邮件附带有 MS Office 文件。一旦打开附件,用户将看到要求启用宏执行的提示,而这个动作会触发恶意软件的传输。

很少情况下,Vidar会通过不同的通信平台,例如Facebook、Discord或WhatsApp的消息传播。这种方法需要获得接收者的信任,否则效果将与电子邮件垃圾邮件一样低。结合低数量的消息和更复杂的保护措施来防止诈骗,使这些方法变得不那么有效。

除了作为独立的恶意软件进行传播外,Vidar stealer 还经常作为恶意软件包的一部分传播,与STOP/Djvu勒索软件一起。在过去的几个月中,它与这种勒索软件一起出现,为骗子提供了额外的收入来源。由于他们不会采取双重勒索,这些数据很可能会被出售 – 暗网上有足够的买家愿意购买。在这种情况下,Vidar stealer 成为 Azorult 间谍软件的替代品 – 另一种用于窃取个人数据的工具。与Djvu勒索软件的结合在 Vidar 感染总数中占据了很大一部分。

什麼是 STOP/Djvu 勒索軟件?

STOP/Djvu勒索软件是同名黑客组织的产品。它被提供为勒索软件即服务,并专门针对个人进行攻击。它于2019年左右出现,很快成为领导者,在2020年占据了对个人用户的所有勒索软件攻击的75%以上。这样的成功是熟练的附属机构,广泛的定向传播活动和良好的软件开发的结果。它以拥有一种独特的重打包机制而闻名,该机制改变了文件的部分,使其不可能用基于签名的机制进行检测。现在,它在寻找新的分发方式方面遇到了麻烦,尤其是那些潜在地能够提供与早期一样高的感染率的方式。

被 Djvu 勒索軟件(NUOW 變種)加密的文件

如何保護自己免受竊取者惡意軟件的侵害?

Stealers(窃取软件)和间谍软件一样,依靠其在感染系统中的隐蔽性。它们很少单独行动并破坏系统工作流程。因此,最好给它们最小的进入机会。让我们集中精力,看看什么能帮助您避免这种恶意软件。

永远不要相信电子邮件附件。如上所述,绝大多数 Vidar stealer 注入作为单一恶意软件与电子邮件垃圾邮件相关。与其内容交互,无论是第三方网站的链接还是附加的文件,都是一个坏主意。幸运的是,它们很容易检测出来 – 通过发件人的地址和意外内容的奇怪文本。检查这两个标志将有助于您淘汰绝大多数欺诈电子邮件。

Email spam example

誘餌郵件的典型例子。 附件包含惡意軟件

避免使用盜版內容。這與 Djvu 勒索軟件有關,該軟件經常與 Vidar 窃取者一起出現。大多數提供盜版遊戲或電影的網站都會向您保證它們是沒有病毒的。然而,只有少數情況是乾淨的,儘管不是所有情況都包含勒索軟件。儘管如此,在您的計算機上獲得惡意軟件並違反版權法面臨訴訟,這並不令人愉快。

使用可靠的反恶意软件。当作为最后手段时,你应该拥有一款优秀的安全解决方案,可以有效地捕获和删除计算机中的任何恶意软件。GridinSoft Anti-Malware 是最佳选择,因为它具有完美的检测机制,包含3个元素。此外,它非常轻便 – 当它在后台运行时,你几乎不会感到系统的负担。在6天的免费试用期内,你将能够测试它提供的所有功能

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

英語 德語 日語 西班牙語 葡萄牙語(巴西) 法語 土耳其語 韓語 印尼語 印地語 義大利語

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending