Vidar stealer: en djupare titt

Skadliga aktörer har många verktyg i sin arsenal för att stjäla information från intet ont anande mål. Under de senaste åren har Vidar stealer blivit allt vanligare. Detta speciella skadliga program är särskilt effektivt när det gäller att smyginfektera enheter för att stjäla en mängd olika typer av data och vidarebefordra dessa tillbaka till angriparen.

Men vad är Vidar stealer, och hur fungerar de här angreppen?

Vad är en Vidar stealer?

Vidar stealer – ibland kallade ”Vidar spyware” (spionprogram) – är specifika typer av skadliga program som syftar till att attackera enheter och stjäla personlig information och detaljer om kryptovalutaplånböcker i enhetens system. Men Vidar används också ibland som en metod för att leverera utpressningsprogram till enheter.

Även om Vidar-botnät har funnits sedan 2018 har deras exakta ursprung varit oklart. I en intervju i november 2023 bekräftade dock upphovsmännen att det skadliga programmet är en utveckling av trojanen Arkei. Det fungerar som malware-as-a-service (”skadligt program som tjänst”) och kan köpas direkt från utvecklarens webbplats på den mörka webben.

Det skadliga programmet Vidar är särskilt känt för sitt sätt att använda Command and Control Infrastructure (eller C2-kommunikation). Detta sker främst via sociala medier som Telegram och Mastodon, och på senare tid på den sociala spelplattformen Steam.

Hur fungerar Vidar stealer?

Vidar använder vanligtvis sociala medier för sin C2-infrastruktur och som en del av sin process. Ofta är adressen till en specifik social nätverksprofil inbäddad i Vidar-programmet, och detta kommer att ha den relevanta C2 IP-adressen i sina specifikationer. Detta gör att spionprogrammet kan ta kontroll över profilen, vilket innefattar kommunikation med IP-adressen, nedladdning av filer och instruktioner och till och med installation av fler skadliga program.

Men eftersom Vidar-botnätet i grunden är en informationstjuv är dess primära funktion att samla in känslig information från en infekterad enhet och skicka dessa data till angriparen. Det finns många olika typer av information som Vidar kan stjäla, bland annat:

• uppgifter om operativsystemet
• Inloggningsuppgifter
• kreditkorts- eller bankkontoinformation
• webbläsarhistorik
• webbläsarcookies
• programvara installerad på enheten
• nedladdade filer
• plånböcker för kryptovaluta – särskilt Exodus, Ethereum, MultiDoge, Atomic, JAXX och ElectronCash
• skärmdumpar
• e-post
• inloggningsuppgifter för FTP

I vissa fall, när Vidar specifikt används för att installera skadliga program på en enhet, använder den sin C2-infrastruktur för att ange en länk från vilken den infekterade filen ska laddas ner och sedan exekveras. Angriparen får då tillgång till enheten och kan använda den för egna syften eller sälja den på mörka webben till andra cyberbrottslingar.

När det väl har laddats ner på en dator använder det flera olika metoder för att förbli oupptäckt. Ofta använder Vidar stealer en stor körbar fil för att undvika upptäckt av antivirusskannrar. I noggranna analyser har experter upptäckt att Vidar-prover innehåller noll byte i slutet av filen (eller nollor i slutet av en .exe-fil), vilket artificiellt förstorar filen. Eftersom filstorleken är så stor överskrider den ofta filgränserna för anti-malware-programmen, som då väljer att hoppa över att analysera filen. Dessutom använder Vidar-filer ofta strängkodning och kryptering för att göra det svårare för skyddsprogramvaran att analysera dem. Det använder också filer som har autentiserats med utgångna digitala certifikat.

Efter att ha infekterat enheten i fråga och stulit så mycket information som möjligt packar Vidar-trojanen alla data i en ZIP-fil och skickar den till kommandoservern. Det skadliga programmet självförstörs sedan och raderar alla bevis på dess existens i enhetens system. På grund av detta kan det vara mycket svårt att utreda Vidar-attacker.

Hur sprids Vidar?

Vidar sprids nästan alltid via skräppost. Målet får i allmänhet ett mejl som inte har efterfrågats men som ser oskyldigt ut, det kanske liknar en faktura från ett onlineköp eller en bekräftelse på förnyelse av en prenumeration. Mejlet innehåller vanligtvis en bifogad fil som mottagaren uppmanas att öppna för att få mer information. Programmet Vidar finns dock inbäddat i bilagan och när målet öppnar den sätts det skadliga programmet in.

Det vanligaste är att bilagan är ett Microsoft Office-dokument som använder ett makroscript. När dokumentet öppnas ombeds användaren därför att aktivera makron. När hen gör det ansluter enheten till skadeprogrammets server, vilket gör att Vidar stealer kan laddas ned. För att motverka Vidar-attackerna har Microsoft gjort ändringar i hur exekveringen av makron ska ske.

Detta innebar dock att cyberbrottslingarna helt enkelt fann andra sätt att sprida Vidar-trojanen. Exempel är:

• bifogade ISO-filer: Vidar kan också levereras som en bifogad ISO-fil via e-post, till exempel en infekterad CHM-fil (Microsoft Compiled HTML Help) och en körbar ”app.exe”-fil, som startar det skadliga programmet när den bifogade filen öppnas
• .zip-arkiv: i ett särskilt fall utgav sig angriparna för att vara modeföretaget H&M och skickade nätfiskemejl som hänvisade mottagarna till en mapp på Google Drive, där de behövde ladda ner ett .zip-arkiv för att få tillgång till ett kontrakt och betalningsinformation. Filen satte sedan igång Vidar-attacken därifrån.
• bedrägliga installationsprogram: angripare kan bädda in spionprogrammet Vidar i ett bedrägligt installationsprogram för legitim programvara som användare kan ladda ner, t.ex. Adobe Photoshop eller Zoom, och leverera det till mål som en bilaga i ett skräppostmeddelande
• Googles sökannonser: på senare tid är ett av de vanligaste sätten att cirkulera Vidar via Googles sökannonser där skadlig programvara har bäddats in i skriptet. Angriparen skapar Google-annonser som imiterar legitima mjukvaruutgivare, och när intet ont anande användare laddar ner denna programvara och kör den, startas det skadliga programmet och börjar infektera enheten.
• Kopplingar till utpressningsprogram: i vissa fall har Vidar-botnät utfört attacker i samband med olika utpressningsprogram, till exempel STOP/Djvu och GandCrab, eller skadliga program som PrivateLoader och Smoke. I dessa mycket skadliga attacker har de två skadliga programmen spridits tillsammans, vilket lett till mer omfattande infektioner, datastöld – och problem för den användare vars enhet är infekterad.

Hur man skyddar sig mot Vidar stealer: 5 väsentliga tips

Vidar stealer är ett hot eftersom det inte bara kan stjäla användardata och systeminformation utan också kan användas för att leverera fler typer av skadliga program. På grund av detta måste individer och organisationer vidta åtgärder för att undvika risken för attacker av en Vidar-trojan. Här är fem förebyggande åtgärder som kan vara användbara:

1. Använd antivirus- och webbskyddsprogram som övervakar och undanröjer den här typen av cyberhot.
2. Använd säkerhetslösningar för e-post för att söka igenom alla inkommande e-postmeddelanden och blockera potentiellt misstänkta meddelanden.
3. Tänk på att använda bästa praxis när det gäller lösenord, till exempel att använda en lösenordshanterare, skapa svåra lösenord och ändra dem regelbundet.
4. Håll all programvara och alla operativsystem uppdaterade för att säkerställa att de senaste säkerhetsuppdateringarna används.
5. Kör regelbundet fullständiga systemsökningar på datorer för att kontrollera om det finns oupptäckta Vidar-spionprogram eller andra infektioner och ta bort dem.

Detta bör utgöra en del av en bredare strategi för att bekämpa potentiella säkerhetsöverträdelser och skadlig aktivitet, samt även bruk av virtuellt privat nätverk (VPN) för att maskera enhetens IP-adress och kryptera all onlineaktivitet.

Vidar Stealer: ett varaktigt hot

Vidar är ett tekniskt mycket avancerat spionprogram. Även om dessa attacker ofta börjar med ett skräppostmeddelande, annonser, knäckt programvara eller andra medel, är de ofta till mer skada på grund av den stora mängden information Vidar kan stjäla. Detta ger angriparen en enorm mängd information för att utföra ytterligare brott – eller sälja på mörka webben. Genom att följa grundläggande säkerhetsrutiner för internet och e-post är det dock möjligt att minimera hotet från Vidar och dess attacker.

Skaffa Kaspersky Premium + Kaspersky Safe Kids UTAN KOSTNAD I 1 ÅR. Kaspersky Premium tilldelades fem AV-TEST-utmärkelser för bästa skydd, bästa prestanda, snabbaste VPN, godkänd föräldrakontroll för Windows och bästa betyg för föräldrakontroll på Android.

Relaterade artiklar och länkar:

• Hur gör jag för att ta bort skadliga program?
• Skydd mot utpressningsvirus: hur du skyddar dina data 2024
• Ta bort utpressningsvirus: dekryptera data – hur du tar kål på viruset
• Detektion av skadlig programvara och kryphål

Relaterade produkter och tjänster:

• Kaspersky Standard
• Kaspersky Premium
• Kaspersky Endpoint Security Cloud
• Kaspersky VPN Secure Connection