Ondsindede aktører har mange værktøjer i deres arsenal til at stjæle oplysninger fra intetanende mål. I de senere år er Vidar stealer blevet mere og mere almindelig. Denne særlige malware er meget effektiv til at inficere enheder i smug for at stjæle en lang række oplysninger og sende dem til angriberen.
Men hvad er Vidar stealer, og hvordan fungerer disse angreb?
Hvad er en Vidar stealer?
Vidar stealers, også kaldet Vidar-spyware, er specifikke typer af malware, der har til formål at angribe enheder og stjæle personlige oplysninger og detaljer om kryptovaluta-wallets i enhedens system. Vidar bruges dog også nogle gange som en metode til at levere ransomware til enheder.
Selvom Vidar-botnettene har eksisteret siden 2018, er deres præcise oprindelse uklar. I et interview i november 2023 bekræftede ophavsmændene dog, at malwaren er en videreudvikling af Arkei-trojaneren. Den fungerer som en malware-as-a-service og kan købes direkte på udviklerens hjemmeside på det mørke net.
Vidar-malwaren er især kendt for den måde, den udnytter Command and Control Infrastructure (eller C2-kommunikation) på. Det sker for det meste gennem sociale medier som Telegram og Mastodon, og for nylig på den sociale spilplatform Steam.
Hvordan fungerer Vidar stealer?
Vidar bruger normalt sociale medier til sin C2-infrastruktur og som en del af sin proces. Ofte vil adressen til en bestemt social netværksprofil være indlejret i Vidar-malwaren, og den vil have den relevante C2-IP-adresse i sine specifikationer. Det giver spywaren mulighed for at tage kontrol over profilen, hvilket inkluderer kommunikation med IP-adressen, download af filer og instruktioner og endda installation af mere malware.
Men fordi Vidar-botnettet i sin kerne er en infostealer, er dets primære funktion at høste følsomme oplysninger fra en inficeret enhed og sende disse data til angriberen. Der er mange forskellige typer information, som Vidar kan stjæle, bl.a.:
- Operativsystemets data
- Login-oplysninger
- Kreditkort- eller bankoplysninger
- Browser-historik
- Browser-cookies
- Software installeret på enheden
- Downloadede filer
- Kryptovaluta-wallets, især Exodus, Ethereum, MultiDoge, Atomic, JAXX og ElectronCash
- Skærmbilleder
- E-mails
- FTP-brugeroplysninger
I nogle tilfælde, når Vidar specifikt bruges til at installere malware på en enhed, bruger den sin C2-infrastruktur til at angive et link, hvorfra den inficerede fil skal downloades, og derefter eksekvere den. Det giver angriberen adgang til enheden, som vedkommende kan bruge til egne formål eller sælge den på det mørke net til andre cyberkriminelle.
Når den er downloadet til en computer, bruger den flere metoder for at undgå at blive opdaget. Ofte bruger Vidar stealers en stor eksekverbar fil for at undgå at blive opdaget af antivirusscannere. I nærmere analyser har eksperter opdaget, at Vidar-prøver indeholder null-bytes i slutningen af filen (eller nuller i slutningen af en .exe-fil), hvilket kunstigt puster filstørrelsen op. Fordi filen er så stor, overskrider den ofte filgrænserne for anti-malware-software, som så vælger at springe analysen af filen over. Derudover bruger Vidar-filer ofte strengkodning og krypteringfor at gøre det mere udfordrende for beskyttelsessoftware at analysere dem. Den bruger også filer, som er blevet godkendt med udløbne digitale certifikater.
Efter at have inficeret den pågældende enhed og stjålet så mange oplysninger som muligt pakker Vidar-trojaneren alle data i en ZIP-fil og sender den til kommandoserveren. Malwaren ødelægger derefter sig selv og sletter alle beviser på sin eksistens i enhedens system. Derfor kan det være meget vanskeligt at efterforske angreb af Vidar-malware.
Hvordan spredes Vidar?
Vidar-malware spredes næsten altid gennem spam-mails. Målgruppen modtager som regel en uopfordret – men uskyldigt udseende – e-mail, der ligner en faktura for et onlinekøb eller en bekræftelse på fornyelse af et abonnement. E-mailen har som regel en vedhæftet fil, som modtageren bliver bedt om at åbne for at få flere oplysninger. Vidar-malwaren er dog indlejret i den vedhæftede fil, og når modtageren åbner den, udløses malwaren.
Oftest er den vedhæftede fil et Microsoft Office-dokument, der bruger et makroscript. Når dokumentet er åbnet, bliver brugeren bedt om at aktivere udførelse af makroer. Når de gør det, opretter enheden forbindelse til malwareserveren og aktiverer download af Vidar stealer. For at afbøde angreb fra Vidar-malware ændrede Microsoft den måde, makroerne udføres på.
Men det betød, at cyberkriminelle simpelthen fandt andre måder at sprede Vidar-trojaneren på. Det gælder fx.:
- Vidar-malware kan også leveres som en vedhæftet ISO-fil via e-mail, f.eks. en inficeret Microsoft Compiled HTML Help (CHM)-fil og en eksekverbar "app.exe"-fil, som starter malwaren, når den vedhæftede fil åbnes.
- .zip-arkiver:I et særligt tilfælde udgav angriberne sig for at være fra modemærket H&M for at sende phishing-mails, der henviste modtagerne til en Google Drive-mappe, hvorfra de skulle downloade et .zip-arkiv for at få adgang til en kontrakt og betalingsoplysninger. Filen ville så starte Vidar stealer-angrebet derfra.
- Falsk installationsprogram:angribere kan integrere Vidar-spyware i et falsk installationsprogram til legitim software, som brugerne kan downloade – såsom Adobe Photoshop eller Zoom – og levere det til ofrene som en vedhæftet fil i en spam-e-mail
- Google Search-annoncer: en af de mest almindelige måder at sprede Vidar på på det seneste er via Google Search-annoncer, der har malwaren indlejret i deres script. Angriberen opretter Google-annoncer, der nøje efterligner dem fra en legitim softwareudgiver, og når intetanende brugere downloader softwaren og kører den, udføres malwaren og inficerer deres enhed.
- Ransomware-associationer: i nogle tilfælde har Vidar-botnettet udført angreb sammen med forskelligt ransomware, såsom STOP/Djvu og GandCrabeller malware som PrivateLoader og Smoke. I disse meget ondsindede angreb er de to malware blevet spredt sammen, hvilket fører til mere omfattende infektioner, datatyveri – og problemer for den bruger, hvis enhed er inficeret.
Sådan beskytter du mod Vidar stealer: 5 vigtige tips
Vidar stealer er et problem, fordi den ikke kun kan stjæle brugerdata og systeminformation, men også kan bruges til at levere flere typer malware. På grund af dette skal enkeltpersoner og organisationer tage skridt til at undgå muligheden for angreb fra en Vidar-trojaner. Her er fem forebyggende foranstaltninger, som kan være nyttige:
- Brug antivirus- og webbeskyttelsessoftware, der holder øje med den slags cybertrusler og neutraliserer dem.
- Brug e-mail-sikkerhedsløsninger til at scanne alle indgående e-mails og blokere potentielt mistænkelige beskeder.
- Husk bedste praksis omkring adgangskoder, herunder at bruge enpassword-manager, oprette komplekse adgangskoder og ændre dem jævnligt.
- Hold al software og alle operativsystemer opdateret for at sikre, at de nyeste sikkerhedsrettelser er implementeret.
- Kør regelmæssigt fulde systemscanninger på computere for at tjekke for uopdaget Vidar-spyware eller andre infektioner og fjerne dem.
De bør indgå i en bredere strategi for at bekæmpe potentielle sikkerhedsbrud og ondsindet aktivitet, herunder brug af et virtuelt privat netværk (VPN)til at maskere enhedens IP-adresse og kryptere al onlineaktivitet.
Vidar Stealer: En vedvarende trussel
Vidar-malware er en meget teknisk spyware. Selvom disse angreb ofte begynder med en spam-mail, annoncer, ødelagt software eller andre midler, er de ofte mere skadelige på grund af den store mængde information, Vidar kan stjæle. Det giver angriberen en enorm mængde information til at udføre yderligere forbrydelser – eller til at sælge på det mørke net. Men ved at holde sig de bedste praksisser for internet- og e-mailsikkerhed for øje er det muligt at minimere truslen fra Vidar, så angrebene mislykkes.
Få Kaspersky Premium + 1 ÅRS GRATIS Kaspersky Safe Kids. Kaspersky Premium har vundet fem AV-TEST-priser for bedste beskyttelse, bedste ydeevne, hurtigste VPN, godkendt forældrekontrol til Windows samt bedste score på børnesikring til Android.
Relaterede artikler og links:
- Hvordan slipper man af med malware?
- Beskyttelse mod ransomware: Sådan holder du dine data sikre i 2024
- Fjernelse af ransomware: Dekryptering af data – sådan dræber du virus
- Malware- og udnyttelsesdetektering
Relaterede produkter og tjenester:
