Злоумышленники располагают широким арсеналом средств для кражи информации. В последние годы популярность приобрел стилер под названием Vidar – высокоэффективное вредоносное ПО, которое незаметно заражает устройства и крадет с них данные, отправляя их преступникам.
Что же такое Vidar и как устроены его атаки?
Что такое Vidar?
Стилеры Vidar (также иногда называемые шпионским ПО Vidar) – это особая разновидность вредоносного ПО, предназначенного для кражи с устройств персональных данных и информации о криптовалютных кошельках. Кроме того, их иногда используют для внедрения программ-вымогателей на устройства пользователей.
Хотя ботнеты Vidar встречаются в Сети с 2018 года, их точное происхождение изначально было неизвестно. Однако в 2023 году авторы зловреда дали интервью и подтвердили, что он эволюционировал из троянца Arkei. Vidar работает по модели «вредоносное ПО как услуга» (MaaS) и доступен для покупки на сайте разработчика в даркнете.
Этот стилер известен прежде всего своим способом взаимодействия с инфраструктурой командных серверов. Он делает это в основном через социальные сети, такие как Telegram и Mastodon, а в последнее время также через игровую социальную платформу Steam.
Как работает стилер Vidar?
Обычно Vidar использует социальные сети как часть своей командной инфраструктуры, а также задействует их в процессе атаки. Так, часто в экземпляр зловреда встраивается адрес профиля или канала в соцсети, в описании которого указывается соответствующий IP-адрес командного сервера. Получив IP-адрес из канала или профиля, зловред может связываться с командным сервером и загружать с него файлы и инструкции, в том числе для установки другого вредоносного ПО.
Но в первую очередь Vidar является стилером, поэтому главная его задача – сбор с зараженного устройства конфиденциальных данных и их пересылка атакующему. Вот некоторые примеры данных, которые может украсть зловред:
- сведения об операционной системе;
- Учетные данные для входа в систему.
- данные банковских карт и счетов;
- история браузера;
- файлы cookie;
- сведения об установленных программах;
- загруженные файлы;
- криптокошельки, в частности Exodus, Ethereum, MultiDoge, Atomic, JAXX и ElectronCash;
- Создание снимков экрана
- электронные письма;
- учетные данные FTP.
Если Vidar работает как средство для установки на устройство другого вредоносного ПО, в некоторых случаях его командная инфраструктура предоставляет ему ссылку на инфицированный файл для загрузки и последующего запуска. Таким образом злоумышленники получают доступ к устройству, чтобы использовать его для своих целей или продавать доступ в даркнете.
После загрузки на компьютер стилер использует различные методы, чтобы остаться незамеченным. Часто он маскируется под исполняемый файл большого размера, чтобы избежать обнаружения сканированием на вирусы. Проанализировав образцы стилера, эксперты выяснили, что в конец файла добавляются нулевые байты, которые искусственно раздувают размер. Такие крупные файлы часто превышают лимиты антивирусных программ, и те пропускают их в ходе проверки. Помимо этого, в файлах Vidar часто используются кодирование и шифрование строк, что затрудняет анализ таких файлов защитным ПО. Также зловред может использовать файлы, подлинность которых подтверждена просроченными цифровыми сертификатами.
После кражи всей нужной информации с зараженного устройства Vidar упаковывает ее в ZIP-архив и отправляет на командный сервер. После этого зловред удаляет все следы своего присутствия в системе и самоуничтожается, что сильно усложняет расследование таких атак.
Каким образом распространяется Vidar?
Практически всегда Vidar попадает на устройство из спам-письма. Жертва получает безобидно выглядящее сообщение от незнакомого отправителя: оно может быть похоже на счет для оплаты онлайн-покупки или на подтверждение продления подписки. В письме говорится, что подробная информация находится во вложении, поэтому его надо открыть. Если получатель следует указаниям, он устанавливает на устройство троянец Vidar, встроенный во вложение.
Чаще всего вложение представляет собой документ Microsoft Office со встроенным макросом. Поэтому после открытия файла жертве предлагается разрешить выполнение макросов. После получения разрешения устройство подключается к серверу с вредоносным ПО и загружает стилер. Чтобы предотвратить подобные атаки, компания Microsoft внесла изменения в процесс запуска макросов.
Но в случае с Vidar преступники просто начали распространять троянец другими способами. .
- Вложенные файлы ISO. Vidar может быть доставлен жертве в виде вложенного в письмо файла ISO, например содержащего зараженный файл справки в формате Microsoft Compiled HTML Help (CHM) и исполняемый файл app.exe, который запускает зловред при открытии вложения.
- ZIP-архивы. В одном из случаев преступники выдавали себя за представителей бренда H&M, рассылая фишинговые письма со ссылкой на папку на Google Диске. Та, в свою очередь, содержала ZIP-архив якобы с договором и реквизитами для оплаты. На самом деле из архива запускался стилер.
- Вредоносные установщики. Злоумышленники могут встраивать шпионское ПО Vidar в поддельные установщики популярных легитимных программ, таких как Adobe Photoshop или Zoom, присылая их жертвам в спам-письмах.
- Реклама в Google. В последнее время одним из популярных методов распространения Vidar стала реклама в поиске Google – в этом случае вредоносное ПО встраивается в рекламный скрипт. Преступник создает рекламу, похожую на объявление легитимного поставщика ПО; пользователь открывает рекламу, скачивает и запускает приложение; вредонос выполняется и заражает устройство.
- Объединение с шифровальщиками. В некоторых атаках ботнета Vidar использовались программы-вымогатели (шифровальщики), например STOP/Djvu или GandCrab, либо такие зловреды, как PrivateLoader или Smoke. При совместном применении двух видов вредоносного ПО масштабы заражения и кражи данных становятся обширнее. Такие атаки опаснее и создают значительно больше проблем владельцам инфицированных устройств.
Как защититься от стилера Vidar: пять критических мер
Стилер Vidar опасен не только потому, что он крадет данные пользователя и сведения о системе, но и потому, что он может распространять другие виды вредоносного ПО. Для предотвращения атаки Vidar как частным лицам, так и компаниям важно соблюдать некоторые рекомендации. Вот пять профилактических мер, которые будут полезны:
- Используйте антивирус и ПО для веб-защиты, которое отслеживает киберугрозы и нейтрализует их.
- Настройте защиту электронной почты на сканирование всех входящих сообщений и блокирование подозрительных писем.
- Не забывайте о безопасном обращении с паролями: используйте менеджер паролей, создавайте сложные пароли и регулярно меняйте их.
- Регулярно обновляйте операционную систему и все программы, своевременно устанавливая исправления безопасности.
- Регулярно выполняйте полное сканирование компьютера, чтобы обнаруживать и удалять шпионское ПО Vidar и другие зловреды.
Все эти действия должны стать частью общей стратегии по борьбе с возможными нарушениями безопасности и вредоносными действиями, в которую также рекомендуется включить использование виртуальной частной сети (VPN) для маскировки IP-адреса устройства и шифрования всей онлайн-активности.
Стилер Vidar: постоянная угроза
Vidar – это высокотехнологичное шпионское ПО. Его атака часто начинается со спам-письма, поддельной рекламы или взломанного приложения и приводит к краже значительных объемов разнообразной информации. Похищенные данные позволяют злоумышленникам совершать все новые преступления или служат товаром для продажи в даркнете. При этом для минимизации угрозы достаточно соблюдать базовые правила безопасного поведения в интернете и использования электронной почты.
Приобретайте подписку Kaspersky Premium + 1 год бесплатного использования Kaspersky Safe Kids. Kaspersky Premium имеет пять наград AV-TEST в категориях «Лучшая защита», «Лучшая производительность», «Самый быстрый VPN», «Родительский контроль на устройствах Windows» и «Родительский контроль на устройствах Android».
Статьи и ссылки по теме:
- Как удалить вредоносные программы с компьютеров и Mac-устройств
- Защита от программ-вымогателей: как сохранить данные в безопасности в 2024 году
- Удаление программ-вымогателей | Расшифровка данных – как победить вирус
- Обнаружение вредоносных программ и эксплойтов
Продукты и решения:
