Последнее обновление 05.01.2023
Похититель Vidar вернулся в новой кампании, которая злоупотребляет социальной сетью Mastodon, чтобы получить конфигурацию C2, не вызывая тревоги.
Данное вредоносное ПО было активным как минимум с октября 2018 года, и мы видели его во многих различных кампаниях. Причина, по которой он так широко используется, заключается в том, что он остается эффективным в своей работе, а также его легко получить через каналы Telegram и подпольные форумы, где он продается всего за 150 долларов.
Данные, которые Vidar пытается украсть с зараженных машин, включают следующее:
- Вся популярная информация браузера, такая как пароли, файлы cookie, история и данные кредитных карт.
- Кошельки с криптовалютой.
- Файлы в соответствии со строками регулярных выражений, предоставленными TA.
- Учетные данные Telegram для версий Windows.
- Информация о приложении для передачи файлов (WINSCP, FTP, FileZilla)
- Информация о почтовом приложении.
Что выделяет эту конкретную кампанию, так это то, как Видар злоупотребляет Mastodon, популярной сетью социальных сетей с открытым исходным кодом, для получения динамической конфигурации и подключения к C2.
Злоумышленники создают учетные записи на Mastodon, а затем добавляют IP-адрес C2, который злоумышленник будет использовать в разделе описания своего профиля.
Идея состоит в том, чтобы защитить связь от скомпрометированной машины к источнику конфигурации, и, поскольку Mastodon является надежной платформой, он не должен вызывать никаких тревожных сигналов с помощью инструментов безопасности. В то же время Mastodon – это относительно недостаточно модерируемое пространство, поэтому эти вредоносные профили вряд ли будут обнаружены, зарегистрированы и удалены.
Исследователи Cyberint , обнаружившие эту кампанию, сообщают, что каждый C2, который они наблюдали, содержал от 500 до 1500 различных идентификаторов кампании, что свидетельствует о широком масштабе развертывания Vidar.
После выполнения отправляется запрос POST для конфигурации, а затем Vidar извлекает свои шесть зависимостей DLL с сервера C2 через серию запросов GET. Это законные сторонние библиотеки DLL для сетевых служб, среды выполнения MS Visual Studio и т. д.
Используя эти библиотеки DLL, Vidar крадет такие данные, как учетные данные электронной почты, данные учетной записи чата, файлы cookie для просмотра веб-страниц и т. Д., Сжимает все в ZIP-архив, а затем передает его злоумышленникам через HTTP POST.
Как только это будет сделано, Vidar завершает свой собственный процесс и удаляет библиотеки DLL и основной исполняемый файл, пытаясь стереть все свидетельства его присутствия на машине жертвы. Чем позже жертва поймет, что ее учетные данные были украдены, тем больше возможностей для эксплуатации будет у актеров.
Чтобы избежать неприятной инфекции Vidar, примите во внимание общие каналы доставки. Как правило, это нежелательные электронные письма, в которых содержатся смелые заявления об ожидающих заказах, платежах и доставках пакетов.
Другой метод распространения – через прямые сообщения в популярных социальных сетях или даже через зашнурованные игровые крэки, загружаемые через торрент.
Главный редактор сайта освещающий последние игровые новости и ищущий для вас последние коды для игр. Большой фанат онлайн-игр и мира Roblox. Пополняет каталог проекта самыми интересными гайдами.