Vidar-Malware-Erkennung: Payloads in Microsoft-Hilfedateien versteckt

[post-views]
März 29, 2022 · 3 min zu lesen
Vidar-Malware-Erkennung: Payloads in Microsoft-Hilfedateien versteckt

Seit Februar 2022 wurde eine neue ungewöhnliche Methode zur Verbreitung von Malware beobachtet. Die neueste Forschung zeigt Beweise für ein Wiederaufleben eines Vidar-Informationen-Diebs, der mindestens seit 2018 im Einsatz ist. Die neueste Vidar-Kampagne ist im Grunde genommen einfach, abgesehen von einem besonderen Trick. Diesmal neigen die Bedrohungsakteure dazu, ihre Nutzlast innerhalb von Microsoft-Hilfedateien zu verstecken.

Vidar-Spionage-Software wird entweder als ein Fork oder eine weiterentwickelte Version der Arkei-Malware angesehen. Ihre Funktionalität umfasst die Fähigkeit von Gegnern, Präferenzen hinsichtlich der Art der zu stehlenden Informationen festzulegen. Zuvor wurde Vidar mit dem Diebstahl von Krypto-Assets, Finanzdaten, Multi-Faktor-Authentifizierungsdaten (MFA), Browserverlauf, Dokumenten und Cookies in Verbindung gebracht.

Entdecken Sie unten unsere neuesten Inhalte, um bösartiges Verhalten zu erkennen, das von Vidar-Infostealer

Vidar-Spionage-Software: Wie man es erkennt

Entdecken Sie den neuesten Erkennungsinhalt unserer produktiven Threat Bounty-Entwickler Osman Demir, Emir Erdogan, und Sittikorn Sangrattanapitak , der ab sofort verfügbar ist, sobald Sie sich bei der Detection as Code-Plattform von SOC Prime anmelden. Die unten vorgeschlagenen Regeln helfen dabei, die neuesten bösartigen Aktivitäten im Zusammenhang mit Vidar-Proben.

Mögliche Vidar-Stealer-Bereinigung von Dateien (via process_creation)

Verdächtiger Vidar-Malware-Launcher als Microsoft-Hilfedatei getarnt (via process_creation)

Mögliche Vidar/Mars-Stealer-Dateierstellung (via file event)

Die oben genannten Regeln sind in der neuesten Ausgabe des MITRE ATT&CK®-Frameworks v.10 abgebildet, einschließlich der folgenden Techniken:

  • Gemeinsam genutzte Module (T1129)
  • Ungesicherte Anmeldedaten (T1552)
  • Entfernung von Indikatoren auf dem Host (T1070)
  • Nutzerausführung (T1204)
  • Signierter Binary-Proxy-Ausführung (T1218)

Erkunden Sie die umfassende Liste der Erkennungsinhalte, die helfen können, eine ganze Reihe von Vidar-Aktivitäten zu identifizieren. Möchten Sie Ihre eigenen Erkennungsinhalte erstellen? Dann sind Sie herzlich eingeladen, unserem Threat Bounty-Programm beizutreten, das Sicherheitsprofis aus der ganzen Welt vereint. Reichen Sie Ihre einzigartigen Erkennungsinhalte ein und erhalten Sie wiederkehrende monetäre Belohnungen für Ihren Beitrag.

Erkennungen anzeigen Threat Bounty beitreten

Vidar-Malware-Analyse

Der Angriffsvektor beginnt typischerweise mit der Zustellung von bösartigen Dateien durch Phishing-Kampagnen. Alternative Wege der Vidar-Zustellung umfassen die Verbreitung über PrivateLoader-Dropper und Exploit-Kits wie Fallout und GrandSoft.

Intelligence-Daten weisen darauf hin, dass Angreifer E-Mails mit Betreffzeilen wie „Re: Ungelesen…“ versenden, um Opfer dazu zu bringen zu glauben, dass sie eine Nachricht aus einer laufenden Kommunikationskette mit einer Datei erhalten, die sie lesen sollen. Der Inhalt der E-Mail enthält nichts Besonderes, außer dass der Anhang „wichtige Informationen“ enthält. Dieser Anhang wiederum ist eine ISO-Datei, die unter dem Namen „request.doc“ verborgen ist.

Die ISO ist ein Disk-Image-Format, das von den Angreifern als Malware-Container genutzt wird. Dadurch erhält ein Opfer zwei Dateien in diesem ISO-Anhang: CHM und EXE. Nach der Extraktion dieser beiden Dateien in dasselbe Verzeichnis beginnt die app.exe-Datei zu laufen. Diese ausführbare Datei ist das, was Forscher Vidar-Malware nennen, die in der Lage ist, Daten zu ernten und an einen Command-and-Control (C&C)-Server zu senden, während sie gleichzeitig Systemscans ausweicht, zusätzliche Malware herunterlädt und sich am Ende ihres bösartigen Ablaufs selbst löscht.

Die Fähigkeit, die neuesten Forschungsergebnisse für den richtigen Erkennungsinhalt zur richtigen Zeit zu nutzen, könnte herausfordernd sein, da sich die Cyberangriffslandschaft schnell entwickelt. Nutzen Sie die Kraft der kollaborativen Cyberabwehr, indem Sie unserer SOC Prime Detection as Code Plattform beitreten, auf der Sie sofort auf von den besten Köpfen unserer globalen Cybersecurity-Community erstellte Regeln zugreifen und diese einsetzen können.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt 4 min zu lesen Neueste Bedrohungen CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt by Daryna Olyniychuk CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung 3 min zu lesen Neueste Bedrohungen CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung by Veronika Telychko
Alle Nachrichten