Vidar マルウェア検出：Microsoft ヘルプファイルに隠されたペイロード

2022年2月以降、珍しいマルウェア配信方法が観察されています。最新の 研究 は、少なくとも2018年から運用されているVidar情報スティーラーの復活の証拠を示しています。最新のVidarキャンペーンは、一つの特殊なトリックを除いて極めて単純です。今回は、脅威アクターはマイクロソフトのヘルプファイル内に自分たちのペイロードを隠す傾向にあります。

Vidarスパイウェア は、Arkeiマルウェアの派生または進化バージョンであると考えられています。その機能には、対戦相手が盗みたい情報の種類に関して設定を行う能力が含まれています。以前、Vidarは暗号資産、金融資格情報、マルチファクター認証（MFA）データ、ブラウザ履歴、文書、クッキーを盗むと関連付けられていました。

以下で最新のコンテンツアイテムを発見し、実行される悪意のある行動を捕捉することができます Vidarインフォスティーラー. 

Vidarスパイウェア：検知方法

私たちの精力的なThreat Bounty開発者による最新の検知コンテンツを発見 オスマン・デミル, エミル・エルドアン、および シッティコーン・サングラッタナピタック により作成されたルールにより、最近の悪意のある活動を見つけるのに役立ちます。 Vidarサンプル.

ファイルの可能性があるVidarスティーラーのクリーンアップ（process_creation経由）

Microsoftヘルプファイルとして擬装した疑わしいVidarマルウェアランチャー（process_creation経由）

Vidar/Marsスティーラーのファイル作成の可能性（ファイルイベント経由）

前述のルールは、MITRE ATT&CK®フレームワークv.10の最新の版にマッピングされており、以下の技術が含まれています。

• 共有モジュール (T1129)
• 保護されていない資格証明 (T1552)
• ホスト上のインジケーターの削除 (T1070)
• ユーザー実行 (T1204)
• 署名されたバイナリープロキシ実行 (T1218)

Vidarの活動全体を特定するのに役立つ包括的な検知コンテンツのリストを探索してください。独自の検知コンテンツを作成したい方は、世界中のセキュリティ専門家を結ぶThreat Bountyプログラムに参加できます。独自の検知コンテンツを提出し、その貢献に対して再度報酬を得ることができます。

検知を表示 Threat Bountyに参加

Vidarマルウェア分析

攻撃ベクトルは通常、フィッシングキャンペーンを通じた悪意のあるファイルの配信から始まります。Vidar配信の他の方法には、PrivateLoaderドロッパーとFallout、GrandSoftのようなエクスプロイトキットの分布が含まれます。

情報によれば、攻撃者は「Re: Unread…」のような件名でメールを送り、被害者に進行中の通信の一部として彼らが読むべきファイルが含まれていると信じ込ませています。メール本文には特に何も含まれておらず、添付ファイルに「重要な情報」が含まれていると述べています。この添付ファイルは、”request.doc”という名前で隠されたISOファイルです。

ISOは攻撃者がマルウェアコンテナとして使用するディスクイメージ形式です。結果として、被害者はこのISO添付ファイル内で2つのファイルを受け取ります：CHMとEXEです。この2つのファイルを同じディレクトリに抽出すると、app.exeファイルが実行され始めます。この実行可能ファイルは、データを収集しC＆amp;Cサーバーに送信し、システムスキャンを回避し、追加のマルウェアをダウンロードし、最終的に自動削除する能力を持つものとしてVidarマルウェアと研究者によって呼ばれています。

急速に進化するサイバー攻撃の状況で適切な時に適切な検知コンテンツを使用できることは、現在では難しいかもしれません。私たちの SOC Prime Detection as Code プラットフォームに参加することで、世界のサイバーセキュリティコミュニティの優秀な人々によって作成されたルールに即座にアクセスし、展開することができます。