Ondsinnede aktører har mange verktøy for å stjele informasjon fra intetanende mål. I de siste årene har Vidar-stjeleren blir stadig mer vanlig. Denne skadelige programvaren er svært effektiv til stjele et stort spekter informasjon i det skjulte og bringe det videre til angriperen.
Så hva er Vidar-stjeleren, og hvordan fungerer disse angrepene?
Hva er en Vidar-stjeler?
Vidar-stjelere — også kalt Vidar-spionvare — er spesifikke typer skadelig programvare som har som mål å angripe enheter og stjele personlig informasjon og informasjon om kryptovaluta-lommebøker i enhetens system. Men Vidar brukes også av og til som en metode for å levere skadelig programvare til enheter.
Selv om Vidar-botnett har eksistert siden 2018, er det uklart nøyaktig hvor de kommer fra. Men i et intervju i november 2023 bekreftet forfatterne at den skadelige programvaren er en utvikling av det trojanske programmet Arkei. Det fungerer som en skadelig tjeneste-programvare og kan kjøpes rett fra utviklerens nettside på det mørke nettet.
Den skadelige programvaren er spesielt kjent for måten den bruker kommando- og kontrollinfrastrukturen på (eller C2-kommunikasjon). Dette skjer hovedsakelig gjennom nettverk for sosiale medier, f.eks. Telegram og Mastodon, og nylig på den sosiale spillplattformen Steam.
Hvordan fungerer Vidar-stjeleren?
Vidar bruker vanligvis sosiale medier for sin C2-infrastruktur og som en del av prosessen sin. Ofte vil adressen til en spesifikk profil på et sosialt nettverk være lagt inn i Vidar-skadevaren, og denne har den relevante C2 IP-adressen i spesifikasjonen sin. Dette lar spionvaren ta kontroll over profilen, noe som omfatter å kommunisere med IP-adressen, laste ned filer og instruksjoner og selv det å installere mer skadelig programvare.
Men siden Vidar-botnetet i sin kjerne er en infostjeler, er dets primære funksjon å høste sensitiv informasjon fra en infisert enhet og sende disse dataene til angriperen. Vidar kan stjele mange ulike typer informasjon, inkludert:
- Operativsystemdata
- påloggingsinformasjon
- Kredittkort- eller bankkontoinformasjon
- Nettleserlogg
- Informasjonskapsler i nettleseren
- Programvare installert på enheten
- Nedlastede filer
- Kryptovaluta-lommebøker — spesifikt Exodus, Ethereum, MultiDoge, Atomic, JAXX og ElectronCash
- Skjermbilder
- E-poster
- FTP-akkreditiver
I noen tilfeller, når Vidar spesifikt brukes til å installere skadelig programvare på en enhet, bruker den C2-infrastrukturen til å angi en lenke man skal laste ned den infiserte filen fra og så kjøre den. Det gir angriperen adgang til enheten, og vedkommende kan bruke dette til sine egne formål eller selge dette på det mørke nettet eller til andre cyberkriminelle.
Når den er lastet ned på maskinen, forblir den ubemerket ved hjelp av flere metoder. Ofte vil Vidar-stjelere bruke en stor kjørbar fil for å unngå å bli oppdaget av antivirus-skannere. Gjennom grundige analyser har eksperter oppdaget at Vidar-prøver inneholder null bytes på slutten av filen (eller nuller på slutten av en .exe-fil), noe som blåser opp filstørrelsen kunstig. Siden filen er så stor, overgår den ofte filgrensene til den anti-skadelige programvaren, som så lar være å analysere filen. I tillegg bruker Vidar-filer ofte strengkoding og kryptering slik at de blir mer utfordrende for beskyttende programvare å analysere. Det bruker også filer som har blitt autentifisert med utgåtte digitale sertifikater.
Etter å ha infisert den aktuelle enheten og stjålet så mye informasjon som mulig, pakker Vidar-programmet alle data inn i en ZIP-fil og sender det til kommandoserveren. Den skadelige programvaren ødelegger så seg selv og sletter alle bevis på sin eksistens i enhetens system. På grunn av dette kan det være veldig vanskelig å etterforske angrep med Vidar-skadevaren.
Hvordan spres Vidar?
Den skadelige programvare Vidar sprer seg nesten alltid gjennom spam-e-poster. Målet mottar for oftest en e-post som virker harmløs som ligner på en faktura for et nettkjøp eller en bekreftelse på en abonnementsfornyelse. E-posten har vanligvis et vedlegg som målet bes om å åpne for mer informasjon. Men Vidar-skadevaren ligger i vedlegget, og når målet åpner det, aktiveres den skadelige programvaren.
Vanligvis er vedlegget et Microsoft Office-dokument som bruker et makroskript. Som sådan bes brukeren aktivere makrokjøringen så snart dokumentet er åpnet. Når vedkommende gjør dette, kobles enheten til skadevareserveren og aktiverer nedlastingen av Vidar-stjeleren. For å bøte på angrep med Vidar-skadevare har Microsoft endret hvordan makrokjøringen fungerer.
Men disse betød at cyberkriminelle ganske enkelt fant andre måter å spre det trojanske programmet Vidar på. Dette omfatter:
- Vedlagte ISO-filer: Skadevaren Vidar kan også leveres som en vedlagt ISO-fil via e-mail, slik som en infisert Microsoft Compiled HTML Help (CHM)-fil og en kjørbar "app.exe"-fil, som aktiverer den skadelige programvaren når vedlegget åpnes
- .zip-arkiver: i ett spesielt tilfelle etterlignet angriperne motemerket H&M for å sende phishing-e-poster som førte mottakere til en Google Drive-mappe. Fra denne må de laste ned et .zip-arkiv for å få tilgang til kontrakt- og betalingsinformasjon. Filen vil så starte Vidar-stjeler-angrepet derfra.
- Bedragerske installerere: angripere kan legge Vidar-spionvare inn i en bedragersk installerer for legitim programvare som brukere kan laste ned — f.eks. Adobe Photoshop eller Zoom — og levere den til mål som et vedlegg i søppelpost
- Google Search-annonser: i det siste har en av de vanligste måtene å sirkulere Vidar på, vært gjennom Google Search-annonser som har skadevaren lagt inn i skriptet sitt. Angriperen skaper Google-annonser som etterligner de fra en ekte programvareleverandør, og når intetanende brukere laster ned denne programvaren og kjører den, infiserer den skadelige programvare enheten deres.
- Løsepengevirus-forbindelser: i noen tilfeller har Vidar-botnetet kjørt angrep sammen med forskjellig programvare, f.eks. STOP/Dvju og GandCrab eller skadelig programvare som PrivateLoader og Smoke. I disse svært skadelige angrepene har de to skadevarene blitt spredt sammen, noe som fører til mer omfattende infeksjoner — og problemer for brukeren med infisert enhet.
Hvordan beskytte seg mot Vidar-stjeleren: fem grunnleggende tips
Vidar-stjeleren er en trussel fordi ikke bare kan den stjele brukerdata og systeminformasjon, men den kan også brukes til å levere flere typer skadelig programvare. På grunn av dette må personer og organisasjoner gå til skritt for å unngå muligheten for å bli angrepet av Vidar-trojaneren. Her er fem forebyggende tiltak som kan bli nyttige:
- Bruk antivirus- og nettbeskyttelsesprogramvare som overvåker slike cybertrusler og nøytraliserer dem.
- Bruk e-postsikkerhets-løsninger for å skanne alle innkommende e-poster og blokkere mulige mistenkelige meldinger.
- Husk beste praksiser for passord, inkludert en passordbehandler, lag komplekse passord og endre dem regelmessig.
- Hold alle programvare- og operativsystemer oppdaterte for å sikre at de nyeste sikkerhetsoppdateringene gjennomføres.
- Kjør regelmessig fulle systemskanninger på datamaskiner for å sjekke for uoppdaget Vidar-spionvare eller andre infeksjoner og fjern dem.
Dette bør være en del av en større strategi for å bekjempe mulige sikkerhetsbrudd og skadelig aktivitet, inkludert bruk av et virtuelt privat nettverk (VPN) for å maskere enhetens IP-adresse og kryptere all nettaktivitet.
Vidar-stjeler: en vedvarende trussel
Vidar-skadevaren er en svært teknisk spionvare. Selv om disse angrepene ofte begynner med en søppel-e-post, annonser, ødelagt programvare eller andre midler, er de ofte farligere bare på grunn av informasjonen Vidar kan stjele. Dette gir angriperen en enorm mengde informasjon for å gjennomføre flere forbrytelser — eller selge på det mørke nettet. Men ved å huske på grunnleggende beste praksiser for internett og e-poster er det mulig å minimalisere trusselen fra Vidar og suksessen til disse angrepene.
Få Kaspersky Premium + 1 ÅR GRATIS Kaspersky Safe Kids. Kaspersky Premium mottok fem AV-TEST-priser for beste beskyttelse, beste ytelse, raskeste VPN, godkjent foreldrekontroll for Windows og beste vurdering for foreldrekontroll på Android.
Relaterte artikler og lenker:
- Hvordan blir man kvitt skadelig programvare?
- Beskyttelse mot løsepengevirus: hvordan holde dataene dine trygge i 2024
- Fjerning av løsepengevirus | Dekryptering av data – hvordan drepe viruset
- Deteksjon av skadelig programvare og utnyttelsesmetoder
Relaterte produkter og tjenester:
