Detección de Malware Vidar: Cargas Útiles Ocultas en Archivos de Ayuda de Microsoft

[post-views]
marzo 29, 2022 · 4 min de lectura
Detección de Malware Vidar: Cargas Útiles Ocultas en Archivos de Ayuda de Microsoft

Un nuevo método inusual de entrega de malware ha sido observado desde febrero de 2022. La más reciente investigación muestra evidencia de un resurgimiento de un ladrón de información Vidar que ha estado operando desde al menos 2018. La última campaña de Vidar es bastante directa, salvo por un truco especial. Esta vez, los actores de amenaza tienden a ocultar su carga dentro de los archivos de ayuda de Microsoft.

El spyware Vidar se cree que es un derivado o una versión evolucionada del malware Arkei. Su funcionalidad incluye la capacidad para que los adversarios configuren preferencias sobre el tipo de información que desean robar. Previamente, Vidar se asociaba con el robo de criptoactivos, credenciales financieras, junto con datos de Autenticación Multifactor (MFA), historial del navegador, documentos y cookies.

Descubra nuestros elementos de contenido más recientes a continuación para ser capaz de capturar el comportamiento malicioso ejecutado por el ladrón de información Vidar

Spyware Vidar: Cómo Detectar

Descubre el contenido de detección más reciente de nuestros prolíficos desarrolladores de Threat Bounty Osman Demir, Emir Erdogan, y Sittikorn Sangrattanapitak que está disponible ahora mismo al iniciar sesión en su cuenta en la plataforma Detection as Code de SOC Prime. Las reglas que sugerimos a continuación ayudarán a detectar la actividad maliciosa más reciente relacionada con muestras de Vidar.

Posible limpieza de archivos por Ladrón de Vidar (a través de process_creation)

Lanzador sospechoso de malware Vidar disfrazado como archivos de ayuda de Microsoft (a través de process_creation)

Posible creación de archivos por Ladrón de Vidar/Mars (a través de evento de archivo)

Las reglas mencionadas anteriormente están mapeadas a la edición más reciente del marco MITRE ATT&CK® v.10, incluyendo las siguientes técnicas:

  • Módulos Compartidos (T1129)
  • Credenciales No Seguras (T1552)
  • Eliminación de Indicadores en el Host (T1070)
  • Ejecución por el Usuario (T1204)
  • Ejecución de Proxy de Binario Firmado (T1218)

Explore la lista completa de contenido de detección que puede ayudar a identificar toda una gama de actividades de Vidar. ¿Desea crear su propio contenido de detección? Entonces, es muy bienvenido a unirse a nuestro programa Threat Bounty que une a profesionales de la seguridad de todo el mundo. Envíe su contenido de detección único y reciba recompensas monetarias recurrentes por su contribución.

Ver Detecciones Únase a Threat Bounty

Análisis de Malware Vidar

El vector de ataque generalmente comienza con la entrega de archivos maliciosos a través de campañas de phishing. Formas alternativas de entrega de Vidar incluyen distribución a través de PrivateLoader dropper y kits de explotación como Fallout y GrandSoft.

Los datos de inteligencia indican que los atacantes han estado enviando correos electrónicos con líneas de asunto como «Re: No leído…» para engañar a las víctimas haciéndoles creer que reciben un mensaje de una cadena de comunicación en curso con un archivo que se supone deben leer. El cuerpo del correo electrónico no incluye nada particular, indicando que el adjunto contiene «información importante». Este adjunto, a su vez, es un archivo ISO oculto bajo el nombre «request.doc».

El ISO es un formato de imagen de disco que los atacantes usan como contenedor de malware. Como resultado, la víctima recibe dos archivos en este adjunto ISO: CHM y EXE. Al extraer estos dos archivos en el mismo directorio, el archivo app.exe comienza a ejecutarse. Este ejecutable es lo que los investigadores llaman malware Vidar, que es capaz de recolectar datos y enviarlos al servidor de comando y control (C&C), al mismo tiempo que evade el escaneo del sistema, descarga malware adicional y se elimina al final de su rutina maliciosa.

El poder usar la investigación más reciente para el contenido de detección adecuado en el momento correcto puede ser un desafío ahora que el panorama de ciberataques evoluciona rápidamente. Abrace el poder de la defensa cibernética colaborativa uniéndose a nuestro plataforma SOC Prime Detection as Code donde puede acceder e implementar instantáneamente reglas creadas por las mentes más brillantes de nuestra comunidad global de ciberseguridad.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación 4 min de lectura Últimas Amenazas CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación by Veronika Telychko
Todas las noticias