Vidar stealer злоупотребляет Мастодонтом, чтобы незаметно получить конфигурацию C2

27
Защищенная электронная почта Proton выигрывает у швейцарцев по сравнению с правилами слежки

Похититель Vidar вернулся в новой кампании, которая злоупотребляет социальной сетью Mastodon, чтобы получить конфигурацию C2, не вызывая тревоги. 

Данное вредоносное ПО было активным как минимум с октября 2018 года, и мы видели его во многих различных кампаниях. Причина, по которой он так широко используется, заключается в том, что он остается эффективным в своей работе, а также его легко получить через каналы Telegram и подпольные форумы, где он продается всего за 150 долларов. 

Данные, которые Vidar пытается украсть с зараженных машин, включают следующее:

  • Вся популярная информация браузера, такая как пароли, файлы cookie, история и данные кредитных карт.
  • Кошельки с криптовалютой.
  • Файлы в соответствии со строками регулярных выражений, предоставленными TA.
  • Учетные данные Telegram для версий Windows.
  • Информация о приложении для передачи файлов (WINSCP, FTP, FileZilla)
  • Информация о почтовом приложении. 

Что выделяет эту конкретную кампанию, так это то, как Видар злоупотребляет Mastodon, популярной сетью социальных сетей с открытым исходным кодом, для получения динамической конфигурации и подключения к C2.

Злоумышленники создают учетные записи на Mastodon, а затем добавляют IP-адрес C2, который злоумышленник будет использовать в разделе описания своего профиля. 

Идея состоит в том, чтобы защитить связь от скомпрометированной машины к источнику конфигурации, и, поскольку Mastodon является надежной платформой, он не должен вызывать никаких тревожных сигналов с помощью инструментов безопасности. В то же время Mastodon — это относительно недостаточно модерируемое пространство, поэтому эти вредоносные профили вряд ли будут обнаружены, зарегистрированы и удалены.

Исследователи Cyberint , обнаружившие эту кампанию, сообщают, что каждый C2, который они наблюдали, содержал от 500 до 1500 различных идентификаторов кампании, что свидетельствует о широком масштабе развертывания Vidar.

После выполнения отправляется запрос POST для конфигурации, а затем Vidar извлекает свои шесть зависимостей DLL с сервера C2 через серию запросов GET. Это законные сторонние библиотеки DLL для сетевых служб, среды выполнения MS Visual Studio и т. д.

Используя эти библиотеки DLL, Vidar крадет такие данные, как учетные данные электронной почты, данные учетной записи чата, файлы cookie для просмотра веб-страниц и т. Д., Сжимает все в ZIP-архив, а затем передает его злоумышленникам через HTTP POST.

Как только это будет сделано, Vidar завершает свой собственный процесс и удаляет библиотеки DLL и основной исполняемый файл, пытаясь стереть все свидетельства его присутствия на машине жертвы. Чем позже жертва поймет, что ее учетные данные были украдены, тем больше возможностей для эксплуатации будет у актеров.

Чтобы избежать неприятной инфекции Vidar, примите во внимание общие каналы доставки. Как правило, это нежелательные электронные письма, в которых содержатся смелые заявления об ожидающих заказах, платежах и доставках пакетов.

Другой метод распространения — через прямые сообщения в популярных социальных сетях или даже через зашнурованные игровые крэки, загружаемые через торрент.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here