Detecção de Malware Vidar: Payloads Ocultos em Arquivos de Ajuda da Microsoft

[post-views]
Março 29, 2022 · 4 min de leitura
Detecção de Malware Vidar: Payloads Ocultos em Arquivos de Ajuda da Microsoft

Um novo método incomum de entrega de malware tem sido observado desde fevereiro de 2022. A pesquisa mais recente pesquisa mostra evidências de um ressurgimento de um ladrão de informações Vidar que vem operando desde pelo menos 2018. A campanha mais recente do Vidar é claramente direta, exceto por um truque especial. Desta vez, os atores da ameaça tendem a esconder sua carga útil nos arquivos de ajuda da Microsoft.

O spyware Vidar acredita-se ser um fork ou uma versão evoluída do malware Arkei. Sua funcionalidade inclui a capacidade para que os adversários configurem preferências com relação ao tipo de informação que desejam roubar. Anteriormente, o Vidar estava associado ao roubo de criptoativos, credenciais financeiras, junto com dados de Autenticação Multi-fator (MFA), histórico de navegador, documentos e cookies.

Descubra nossos itens de conteúdo mais recentes abaixo para capturar o comportamento malicioso executado por Vidar infostealer

Vidar Spyware: Como Detectar

Descubra o conteúdo de detecção mais recente dos nossos prolíficos desenvolvedores de Threat Bounty Osman Demir, Emir Erdogan, e Sittikorn Sangrattanapitak que está disponível agora após o login em sua conta na plataforma Detection as Code da SOC Prime. As regras que sugerimos abaixo ajudarão a identificar a atividade maliciosa mais recente envolvendo amostras de Vidar.

Possível limpeza de arquivos do Vidar Stealer (via process_creation)

Launcher de Malware Vidar Suspeito Disfarçado como Arquivos de Ajuda da Microsoft (via process_creation)

Possível Criação de Arquivo Vidar/Mars Stealer (via evento de arquivo)

As regras mencionadas acima estão mapeadas para a edição mais recente do framework MITRE ATT&CK® v.10, incluindo as seguintes técnicas:

  • Módulos Compartilhados (T1129)
  • Credenciais Inseguras (T1552)
  • Remoção de Indicadores no Host (T1070)
  • Execução pelo Usuário (T1204)
  • Execução de Proxy de Binário Assinado (T1218)

Explore a lista abrangente de conteúdo de detecção que pode ajudar a identificar uma ampla gama de atividades do Vidar. Ansioso para criar seu próprio conteúdo de detecção? Então é muito bem-vindo para juntar-se ao nosso programa Threat Bounty que une profissionais de segurança de todo o mundo. Envie seu conteúdo de detecção único e receba recompensas monetárias recorrentes por sua contribuição.

Ver Detecções Juntar-se ao Threat Bounty

Análise de Malware Vidar

O vetor de ataque normalmente começa com a entrega de arquivos maliciosos por meio de campanhas de phishing. Maneiras alternativas de entrega do Vidar incluem distribuição através do PrivateLoader dropper e kits de exploração como Fallout e GrandSoft.

Dados de inteligência indicam que os atacantes têm enviado e-mails com linhas de assunto como “Re: Não lido…” para enganar as vítimas a acreditarem que estão recebendo uma mensagem de uma corrente de comunicação em andamento com um arquivo que deveriam ler. O corpo do e-mail não inclui nada específico, afirmando que o anexo contém “informações importantes”. Este anexo, por sua vez, é um arquivo ISO oculto sob o nome “request.doc”.

O ISO é um formato de imagem de disco que é usado pelos atacantes como um contêiner de malware. Como resultado, a vítima recebe dois arquivos neste anexo ISO: CHM e EXE. Após a extração desses dois arquivos no mesmo diretório, o arquivo app.exe começa a ser executado. Este executável é o que os pesquisadores chamam de malware Vidar, que é capaz de coletar dados e enviá-los ao servidor de comando e controle (C&C), enquanto também evita a varredura do sistema, baixa malware adicional e se exclui ao final de sua rotina maliciosa.

Ser capaz de usar a pesquisa mais recente para o conteúdo de detecção certo no momento certo pode ser desafiador agora que o cenário de ataques cibernéticos está evoluindo rapidamente. Abrace o poder da defesa cibernética colaborativa juntando-se ao nosso SOC Prime Detection as Code plataforma onde você pode acessar e implantar instantaneamente regras criadas pelas mentes mais brilhantes da nossa comunidade global de cibersegurança.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas