Detecção de Malware Vidar: Payloads Ocultos em Arquivos de Ajuda da Microsoft
Índice:
Um novo método incomum de entrega de malware tem sido observado desde fevereiro de 2022. A pesquisa mais recente pesquisa mostra evidências de um ressurgimento de um ladrão de informações Vidar que vem operando desde pelo menos 2018. A campanha mais recente do Vidar é claramente direta, exceto por um truque especial. Desta vez, os atores da ameaça tendem a esconder sua carga útil nos arquivos de ajuda da Microsoft.
O spyware Vidar acredita-se ser um fork ou uma versão evoluída do malware Arkei. Sua funcionalidade inclui a capacidade para que os adversários configurem preferências com relação ao tipo de informação que desejam roubar. Anteriormente, o Vidar estava associado ao roubo de criptoativos, credenciais financeiras, junto com dados de Autenticação Multi-fator (MFA), histórico de navegador, documentos e cookies.
Descubra nossos itens de conteúdo mais recentes abaixo para capturar o comportamento malicioso executado por Vidar infostealer.
Vidar Spyware: Como Detectar
Descubra o conteúdo de detecção mais recente dos nossos prolíficos desenvolvedores de Threat Bounty Osman Demir, Emir Erdogan, e Sittikorn Sangrattanapitak que está disponível agora após o login em sua conta na plataforma Detection as Code da SOC Prime. As regras que sugerimos abaixo ajudarão a identificar a atividade maliciosa mais recente envolvendo amostras de Vidar.
Possível limpeza de arquivos do Vidar Stealer (via process_creation)
Possível Criação de Arquivo Vidar/Mars Stealer (via evento de arquivo)
As regras mencionadas acima estão mapeadas para a edição mais recente do framework MITRE ATT&CK® v.10, incluindo as seguintes técnicas:
- Módulos Compartilhados (T1129)
- Credenciais Inseguras (T1552)
- Remoção de Indicadores no Host (T1070)
- Execução pelo Usuário (T1204)
- Execução de Proxy de Binário Assinado (T1218)
Explore a lista abrangente de conteúdo de detecção que pode ajudar a identificar uma ampla gama de atividades do Vidar. Ansioso para criar seu próprio conteúdo de detecção? Então é muito bem-vindo para juntar-se ao nosso programa Threat Bounty que une profissionais de segurança de todo o mundo. Envie seu conteúdo de detecção único e receba recompensas monetárias recorrentes por sua contribuição.
Ver Detecções Juntar-se ao Threat Bounty
Análise de Malware Vidar
O vetor de ataque normalmente começa com a entrega de arquivos maliciosos por meio de campanhas de phishing. Maneiras alternativas de entrega do Vidar incluem distribuição através do PrivateLoader dropper e kits de exploração como Fallout e GrandSoft.
Dados de inteligência indicam que os atacantes têm enviado e-mails com linhas de assunto como “Re: Não lido…” para enganar as vítimas a acreditarem que estão recebendo uma mensagem de uma corrente de comunicação em andamento com um arquivo que deveriam ler. O corpo do e-mail não inclui nada específico, afirmando que o anexo contém “informações importantes”. Este anexo, por sua vez, é um arquivo ISO oculto sob o nome “request.doc”.
O ISO é um formato de imagem de disco que é usado pelos atacantes como um contêiner de malware. Como resultado, a vítima recebe dois arquivos neste anexo ISO: CHM e EXE. Após a extração desses dois arquivos no mesmo diretório, o arquivo app.exe começa a ser executado. Este executável é o que os pesquisadores chamam de malware Vidar, que é capaz de coletar dados e enviá-los ao servidor de comando e controle (C&C), enquanto também evita a varredura do sistema, baixa malware adicional e se exclui ao final de sua rotina maliciosa.
Ser capaz de usar a pesquisa mais recente para o conteúdo de detecção certo no momento certo pode ser desafiador agora que o cenário de ataques cibernéticos está evoluindo rapidamente. Abrace o poder da defesa cibernética colaborativa juntando-se ao nosso SOC Prime Detection as Code plataforma onde você pode acessar e implantar instantaneamente regras criadas pelas mentes mais brilhantes da nossa comunidade global de cibersegurança.