Rilevamento del Malware Vidar: Payloads Nascosti nei File di Aiuto di Microsoft

[post-views]
Marzo 29, 2022 · 4 min di lettura
Rilevamento del Malware Vidar: Payloads Nascosti nei File di Aiuto di Microsoft

Un nuovo metodo insolito di consegna del malware è stato osservato da febbraio 2022. La più recente ricerca mostra evidenze di una rinascita di Vidar, un ladro di informazioni, in attività almeno dal 2018. L’ultima campagna Vidar è abbastanza diretta tranne per un trucco speciale. Questa volta, gli attori della minaccia tendono a nascondere il loro payload nei file di aiuto di Microsoft.

Il spyware Vidar si ritiene sia un fork o una versione evoluta del malware Arkei. La sua funzionalità include la capacità per gli avversari di impostare preferenze riguardo al tipo di informazioni che vogliono rubare. Precedentemente Vidar era associato al furto di cripto attività, credenziali finanziarie, insieme a dati di Autenticazione a più fattori (MFA), cronologia del browser, documenti e cookie.

Scopri i nostri contenuti più recenti per catturare il comportamento malevolo eseguito da ladro di informazioni Vidar

Spyware Vidar: Come rilevare

Scopri i contenuti di rilevamento più recenti dai nostri prolifici sviluppatori di Threat Bounty Osman Demir, Emir Erdogan, e Sittikorn Sangrattanapitak disponibile subito accedendo al tuo account sulla piattaforma Detection as Code di SOC Prime. Le regole che suggeriamo qui sotto ti aiuteranno a individuare le attività malevole più recenti che coinvolgono campioni di Vidar.

Possibile Pulizia dei File del Ladro Vidar (via process_creation)

Avviatore Sospetto di Malware Vidar Celandosi come File di Aiuto di Microsoft (via process_creation)

Possibile Creazione di File Vidar/Mars Stealer (via evento file)

Le regole sopra menzionate sono mappate all’edizione più recente del framework MITRE ATT&CK® v.10, incluse le seguenti tecniche:

  • Moduli Condivisi (T1129)
  • Credenziali Non Sicure (T1552)
  • Rimozione degli Indicatori sull’Host (T1070)
  • Esecuzione Utente (T1204)
  • Esecuzione Proxy di Binari Firmati (T1218)

Esplora l’elenco completo dei contenuti di rilevamento che può aiutare a identificare una vasta gamma di attività di Vidar. Desiderio di creare i tuoi contenuti di rilevamento? Allora sei benvenuto a unirti al nostro programma Threat Bounty che unisce professionisti della sicurezza da tutto il mondo. Invia i tuoi contenuti di rilevamento unici e ricevi ricompense monetarie ricorrenti per il tuo contributo.

Visualizza Rilevamenti Unisciti a Threat Bounty

Analisi del Malware Vidar

Il vettore di attacco inizia tipicamente dalla consegna di file malevoli tramite campagne di phishing. Modi alternativi di consegna di Vidar includono distribuzione tramite il dropper PrivateLoader e kit di exploit come Fallout e GrandSoft.

I dati di intelligence indicano che gli attaccanti hanno inviato email con oggetti come “Re: Unread…” per ingannare le vittime facendo credere loro di ricevere un messaggio da una catena di comunicazione in corso con un file che sono supposti leggere. Il corpo dell’email non include niente di particolare, affermando che l’allegato contiene “informazioni importanti”. Questo allegato, a sua volta, è un file ISO nascosto sotto il nome “request.doc”.

L’ISO è un formato di immagine disco che viene usato dagli attaccanti come contenitore di malware. Come risultato, una vittima riceve due file in questo allegato ISO: CHM ed EXE. Una volta estratti questi due file nella stessa directory, il file app.exe inizia ad essere eseguito. Questo eseguibile è ciò che i ricercatori chiamano malware Vidar, capace di raccogliere dati e inviarli al server di comando e controllo (C&C), evitando al contempo la scansione del sistema, scaricando ulteriore malware e cancellandosi al termine della sua routine malevola.

Essere in grado di utilizzare la ricerca più recente per il contenuto di rilevamento giusto al momento giusto potrebbe essere una sfida ora che il panorama degli attacchi informatici sta evolvendo rapidamente. Abbraccia la potenza della difesa cibernetica collaborativa unendoti al nostro piattaforma SOC Prime Detection as Code dove puoi accedere e implementare istantaneamente regole create dalle menti più brillanti della nostra comunità globale di cybersecurity.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente 4 min di lettura Ultime Minacce Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente by Daryna Olyniychuk CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione 4 min di lettura Ultime Minacce CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione by Veronika Telychko
Tutte le notizie