Atores mal-intencionados têm muitas ferramentas em seu arsenal para roubar informações de alvos desavisados. Nos últimos anos, o stealer Vidar tem se tornado cada vez mais comum. Esse malware em particular é altamente eficaz em infectar dispositivos furtivamente para roubar uma ampla gama de informações e retransmiti-las ao invasor.
Mas o que é exatamente o stealer Vidar e como funcionam esses ataques?
O que é o stealer Vidar?
Stealers Vidar – às vezes chamados de spyware Vidar – são tipos específicos de malware que visam atacar dispositivos e roubar informações pessoais e detalhes de carteiras de criptomoedas no sistema do dispositivo. No entanto, o Vidar também é, às vezes, usado como um método de instalação de ransomware em dispositivos.
Embora as botnets Vidar existam desde 2018, suas origens exatas não são claras. Em uma entrevista em novembro de 2023, no entanto, os autores confirmaram que o malware é uma evolução do cavalo de Troia Arkei. Ele opera como um malware como serviço e pode ser adquirido diretamente do site do desenvolvedor na dark web.
O malware Vidar é particularmente conhecido pela maneira como utiliza a Infraestrutura de Comando e Controle (ou comunicação C2). Isso ocorre principalmente por meio de redes sociais como Telegram e Mastodon, e mais recentemente na plataforma social de jogos Steam.
Como o stealer Vidar funciona?
Geralmente, o Vidar usa redes sociais para sua infraestrutura C2 e como parte de seu processo. Frequentemente, o endereço de um perfil específico de rede social estará incorporado ao malware Vidar, e esse terá o endereço IP C2 relevante em suas especificações. Isso permite que o spyware assuma o controle do perfil, o que inclui a comunicação com o endereço IP, baixando arquivos e instruções, e até mesmo instalando mais malware.
No entanto, como o botnet Vidar é, em essência, um ladrão de informações, sua função principal é coletar informações confidenciais de um dispositivo infectado e enviar esses dados ao invasor. Existem muitos tipos diferentes de informações que o Vidar pode roubar, incluindo:
- Dados de sistema operacional
- Credenciais de login
- Informações bancárias e de cartão de crédito
- Histórico do navegador
- Cookies do navegador
- Software instalado no dispositivo
- Arquivos baixados
- Carteiras de criptomoedas – especificamente Exodus, Ethereum, MultiDoge, Atomic, JAXX e ElectronCash
- Capturas de tela
- E-mails
- Credenciais de FTP
Em alguns casos, quando o Vidar é usado especificamente para instalar malware em um dispositivo, ele usa sua infraestrutura C2 para especificar um link do qual baixar o arquivo infectado e, em seguida, executá-lo. Isso dá ao invasor acesso ao dispositivo, e ele pode usá-lo para seus próprios propósitos ou vendê-lo na dark web para outros criminosos cibernéticos.
Uma vez baixado em uma máquina, ele utiliza vários métodos para permanecer indetectável. Frequentemente, os stealers Vidar usam um arquivo executável grande para evitar a detecção por antivírus. Em análises detalhadas, especialistas descobriram que as amostras do Vidar contêm bytes nulos no final do arquivo (ou zeros no final de um arquivo .exe), o que aumenta artificialmente o tamanho do arquivo. Como o tamanho do arquivo é muito grande, ele geralmente excede os limites do software antimalware, que opta por pular a análise do arquivo. Além disso, os arquivos Vidar geralmente usam codificação de string e criptografia para torná-los mais desafiadores para análise por software de proteção. Ele também usa arquivos que foram autenticados com certificados digitais expirados.
Depois de infectar o dispositivo em questão e roubar o máximo de informações possível, o cavalo de Troia Vidar compacta todos os dados em um arquivo ZIP e os envia para o servidor de comando. O malware então se autodestrói e exclui todas as evidências de sua existência no sistema do dispositivo. Por isso, investigar ataques do malware Vidar pode ser muito difícil.
Como o Vidar se espalha?
O malware Vidar é quase sempre espalhado por meio de e-mails de spam. O alvo geralmente recebe um e-mail não solicitado, mas aparentemente inócuo, que se assemelha a uma fatura de uma compra online ou a uma confirmação de renovação de assinatura. O e-mail geralmente terá um anexo, que o alvo será direcionado a abrir para obter mais informações. No entanto, o malware Vidar está incorporado ao anexo e, quando o alvo o abre, o malware é implantado.
Mais comumente, o anexo é um documento do Microsoft Office que usa um script de macros. Dessa forma, uma vez aberto o documento, o usuário é solicitado a habilitar a execução de macros. Depois que isso é feito, o dispositivo se conecta ao servidor de malware e permite o download do stealer Vidar. Para mitigar os ataques do malware Vidar, a Microsoft mudou a maneira como a execução de macros opera.
No entanto, isso significou que os cibercriminosos simplesmente encontraram maneiras diferentes de espalhar o cavalo de Troia Vidar. Estes incluem:
- Arquivos ISO anexados: o malware Vidar também pode ser entregue como um arquivo ISO anexado a um e-mail, como um arquivo Microsoft Compiled HTML Help (CHM) infectado e arquivo "app.exe" executável, que inicia o malware quando o anexo é aberto
- Arquivos .zip: em um caso específico, os invasores imitaram a marca de moda H&M e enviaram e-mails de phishing que direcionavam os destinatários a uma pasta do Google Drive, da qual eles baixariam um arquivo .zip para acessar um contrato e informações de pagamento. O arquivo então iniciaria o ataque do stealer Vidar a partir daí.
- Instaladores fraudulentos: os invasores podem incorporar o spyware Vidar em um instalador fraudulento de software legítimo que os usuários podem baixar – como Adobe Photoshop ou Zoom – e entregá-lo aos alvos como um anexo em um e-mail de spam
- Anúncios da Pesquisa Google: mais recentemente, uma das formas mais comuns de circular o Vidar é por meio de anúncios da Pesquisa Google que têm o malware incorporado ao seu script. O invasor cria anúncios do Google que imitam de perto aqueles de um editor de software legítimo e, quando usuários desavisados baixam esse software e o executam, o malware é executado e infecta seus dispositivos..
- Associações de ransomware: em alguns casos, o botnet Vidar executou ataques em conjunto com vários ransomwares, como STOP/Djvu e GandCrab, ou malware como PrivateLoader and Smoke. Nesses ataques altamente mal-intencionados, os dois malwares foram espalhados juntos, levando a infecções mais extensas, roubo de dados e problemas para o usuário cujo dispositivo está infectado.
Como se proteger do stealer Vidar: 5 dicas essenciais
O stealer Vidar representa uma vantagem porque ele não só pode roubar dados do usuário e informações do sistema, mas também pode ser usado para distribuir mais tipos de malware. Por isso, indivíduos e organizações precisam tomar medidas para evitar as chances de ataques do cavalo de Troia Vidar. Aqui estão cinco medidas preventivas que podem ser úteis:
- Use software antivírus e de proteção da Web que monitore esses tipos de ameaças cibernéticas e neutralize-as.
- Utilize soluções de segurança de e-mail para verificar todos os e-mails recebidos e bloquear mensagens suspeitas.
- Lembre-se das práticas recomendadas sobre senhas, incluindo o uso de um gerenciador de senhas, criando senhas complexas e alterado-as regularmente.
- Mantenha todos os softwares e sistemas operacionais atualizados para garantir que os patches de segurança mais recentes sejam implantados.
- Execute regularmente verificações completas do sistema nos computadores para verificar se há spyware Vidar não detectado ou outras infecções e removê-los.
Isso deve fazer parte de uma estratégia mais ampla para combater possíveis violações de segurança e atividades mal-intencionadas, incluindo a utilização de uma rede privada virtual (VPN) para mascarar o endereço IP do dispositivo e criptografar todas as atividades online.
Stealer Vidar: uma ameaça persistente
O malware Vidar é um spyware altamente técnico. Embora esses ataques geralmente comecem com um e-mail de spam, anúncios, software violado ou outros meios, eles costumam ser mais nefastos devido à grande quantidade de informações que o Vidar pode roubar. Isso dá ao invasor uma quantidade enorme de informações para executar outros crimes ou vender na dark web. No entanto, mantendo em mente as práticas recomendadas de segurança básica de Internet e e-mail, é possível minimizar a ameaça do Vidar e o sucesso desses ataques.
Obtenha o Kaspersky Premium + 1 ANO GRÁTIS do Kaspersky Safe Kids. O Kaspersky Premium recebeu cinco prêmios AV-TEST: melhor proteção, melhor desempenho, VPN mais rápida, controle dos pais aprovado para Windows e melhor avaliação de controle dos pais para Android.
Artigos e links relacionados:
- Como se livrar de malware?
- Proteção contra ransomware: como manter seus dados seguros em 2024
- Removendo ransomware: descriptografando dados: como acabar com o vírus
- Detecção de malware e exploits
Produtos e serviços relacionados:
