Détection de Malware Vidar : Charges Utilisées Cachées dans des Fichiers d’Aide Microsoft

[post-views]
mars 29, 2022 · 4 min de lecture
Détection de Malware Vidar : Charges Utilisées Cachées dans des Fichiers d’Aide Microsoft

Une nouvelle méthode inhabituelle de diffusion de logiciels malveillants a été observée depuis février 2022. Les dernières recherches montrent des preuves d’une résurgence d’un voleur d’informations Vidar qui opère depuis au moins 2018. La dernière campagne Vidar est relativement simple, sauf pour un tour spécial. Cette fois, les acteurs malveillants ont tendance à cacher leur charge utile dans les fichiers d’aide de Microsoft.

L’espion Vidar est considéré comme un fork ou une version évoluée du malware Arkei. Sa fonctionnalité inclut la capacité pour les adversaires de configurer des préférences concernant le type d’information qu’ils souhaitent voler. Auparavant, Vidar était associé au vol d’actifs crypto, de données d’identification financière, ainsi que de données d’authentification multifacteur (MFA), d’historique de navigation, de documents et de cookies.

Découvrez nos derniers éléments de contenu ci-dessous pour être en mesure de capturer le comportement malveillant exécuté par voleur d’informations Vidar

Espion Vidar: Comment détecter

Découvrez le dernier contenu de détection par nos prolifiques développeurs de Threat Bounty Osman Demir, Emir Erdogan, et Sittikorn Sangrattanapitak qui est disponible dès maintenant en vous connectant à votre compte sur la plateforme Detection as Code de SOC Prime. Les règles que nous suggérons ci-dessous aideront à repérer la dernière activité malveillante impliquant des échantillons Vidar.

Nettoyage possible des fichiers du voleur Vidar (via process_creation)

Lanceur de malware Vidar suspect en se faisant passer pour des fichiers d’aide de Microsoft (via process_creation)

Création possible de fichiers par Vidar/Mars Stealer (via événement de fichier)

Les règles mentionnées ci-dessus sont mappées à la version la plus récente du cadre MITRE ATT&CK®, v.10, incluant les techniques suivantes :

  • Modules partagés (T1129)
  • Identifiants non sécurisés (T1552)
  • Suppression des indicateurs sur l’hôte (T1070)
  • Exécution par l’utilisateur (T1204)
  • Exécution par proxy de binaire signé (T1218)

Explorez la liste complète du contenu de détection qui peut aider à identifier toute une gamme d’activités Vidar. Vous souhaitez créer votre propre contenu de détection ? Alors, vous êtes le bienvenu pour rejoindre notre programme Threat Bounty qui réunit des professionnels de la sécurité du monde entier. Soumettez votre contenu de détection unique et recevez des récompenses monétaires récurrentes pour votre contribution.

Voir les détections Rejoignez Threat Bounty

Analyse du malware Vidar

Le vecteur d’attaque commence généralement par la livraison de fichiers malveillants via des campagnes de phishing. D’autres moyens de livraison de Vidar incluent la distribution par le dropper PrivateLoader et des kits d’exploitation comme Fallout et GrandSoft.

Les données de renseignement indiquent que les attaquants ont envoyé des e-mails avec des objets comme « Re: Non lu… » pour tromper les victimes en leur faisant croire qu’elles reçoivent un message d’une chaîne de communication en cours avec un fichier qu’elles sont censées lire. Le corps du message ne contient rien de particulier, affirmant que la pièce jointe contient des « informations importantes ». Cette pièce jointe, à son tour, est un fichier ISO dissimulé sous le nom de « request.doc ».

L’ISO est un format d’image disque utilisé par les attaquants comme conteneur de malware. En conséquence, une victime reçoit deux fichiers dans cette pièce jointe ISO : CHM et EXE. Lors de l’extraction de ces deux fichiers dans le même répertoire, le fichier app.exe commence à s’exécuter. Cet exécutable est ce que les chercheurs appellent le malware Vidar, capable de récolter des données et de les envoyer à un serveur de commande et contrôle (C&C), tout en évitant la détection système, téléchargeant des logiciels malveillants supplémentaires et se supprimant à la fin de sa routine malveillante.

Être capable d’utiliser les dernières recherches pour le bon contenu de détection au bon moment peut être difficile maintenant que le paysage des cyberattaques évolue rapidement. Adoptez la puissance de la défense cybernétique collaborative en rejoignant notre plateforme SOC Prime Detection as Code où vous pouvez instantanément accéder et déployer des règles créées par les esprits les plus brillants de notre communauté mondiale de cybersécurité.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active 4 min de lecture Dernières Menaces Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active by Daryna Olyniychuk CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification 4 min de lecture Dernières Menaces CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification by Veronika Telychko
Toutes les actualités