恶意行为者拥有多种工具可以从毫无防备的目标那里窃取信息。近年来,Vidar 窃取程序变得越来越常见。这种特殊的恶意软件能够非常有效地暗中感染设备,窃取大量信息并将其传回给攻击者。
但什么是 Vidar 窃取程序,这些攻击是如何运作的?
什么是 Vidar 窃取程序?
Vidar 窃取程序(有时也称为 Vidar 间谍软件)是特定类型的恶意软件,旨在攻击设备并窃取设备系统内的个人信息和加密货币钱包详细信息。不过,Vidar 有时也被用作向设备投放勒索软件的方法。
尽管 Vidar 僵尸网络自 2018 年起就已经存在,但其确切起源尚不清楚。然而,在 2023 年 11 月的一次采访中,作者证实该恶意软件是 Arkei 木马的进化版本。它以恶意软件即服务的方式运行,可以直接从开发者在暗网上的网站购买。
Vidar 恶意软件因其利用指挥与控制基础设施(或 C2 通信)的方式而特别知名。这主要发生在 Telegram 和 Mastodon 等社交媒体网络上,最近发生在社交游戏平台 Steam 上。
Vidar 窃取程序如何运作?
Vidar 通常使用社交媒体作为其 C2 基础设施或其流程的一部分。通常,Vidar 恶意软件内会嵌入特定社交网络档案的地址,并且其规范中将包含相关的 C2 IP 地址。这使得间谍软件能够控制该档案,包括与 IP 地址通信、下载文件和指令,甚至安装更多恶意软件。
然而,由于 Vidar 僵尸网络的核心是信息窃取程序,其主要功能是从受感染设备中收集敏感信息,并将这些数据发送给攻击者。Vidar 可以窃取多种不同类型的信息,包括:
- 操作系统数据
- 登录凭据
- 信用卡或银行信息
- 浏览器历史记录
- 浏览器 Cookie
- 设备上安装的软件
- 下载的文件
- 加密货币钱包——具体来说,Exodus、Ethereum、MultiDoge、Atomic、JAXX 和 ElectronCash
- 屏幕截图
- 电子邮件
- FTP 凭证
在某些情况下,当 Vidar 专门用于在设备上安装恶意软件时,它会使用其 C2 基础设施指定一个链接来下载受感染的文件,然后执行该文件。这使得攻击者可以访问该设备,他们可以将其用于自己的目的,或者在暗网上将其出售给其他网络犯罪分子。
一旦下载到计算机上,它会利用多种方法来保持不被发现。通常,Vidar 窃取程序使用大型可执行文件来避免被反病毒扫描程序检测到。专家在仔细分析后发现,Vidar 样本在文件末尾包含空字节(或 .exe 文件末尾包含零),人为地增加文件大小。由于文件很大,通常会超出反恶意软件的文件限制,因此反恶意软件会选择跳过分析该文件。此外,Vidar 文件经常使用字符串编码和加密,使防护软件更难进行分析。它还会使用已通过过期数字证书进行身份验证的文件。
在感染相关设备并窃取尽可能多的信息后,Vidar 木马会将所有数据打包成一个 ZIP 文件并将其发送到命令服务器。然后,该恶意软件会自毁并删除其在设备系统内存在过的所有证据。因此,调查 Vidar 恶意软件攻击可能非常困难。
Vidar 如何传播?
Vidar 恶意软件几乎总是通过垃圾电子邮件传播。目标通常会收到一封未经请求但看起来无害的电子邮件,类似于在线购买的发票或订阅续订的确认。该电子邮件通常会有一个附件,引诱目标打开来获取更多信息。但是,Vidar 恶意软件嵌入在附件中,当目标打开附件时,恶意软件就会被部署。
最常见的是,附件是使用了宏脚本的 Microsoft Office 文档。因此,在打开文档后,用户会被要求启用宏执行。一旦他们这样做,设备就会连接到恶意软件服务器并开始下载 Vidar 窃取程序。为了减少 Vidar 恶意软件的攻击,微软更改了其宏执行的运行方式。
然而,这意味着网络犯罪分子只是找到了传播 Vidar 木马的不同方式。这些包括:
- 附件 ISO 文件:Vidar 恶意软件还可以通过电子邮件以附件 ISO 文件的形式传送,例如受感染的 Microsoft Compiled HTML Help (CHM) 文件和可执行的“app.exe”文件,在打开附件时就会启动恶意软件
- .zip 压缩文件:在一个特定案例中,攻击者假冒时尚品牌 H&M,发送钓鱼电子邮件来引导收件人访问一个 Google Drive 文件夹,他们需要从中下载一个 .zip 压缩文件来获取合同和支付信息。该文件随后即发起 Vidar 窃取程序攻击。
- 欺诈性安装程序:攻击者可以将 Vidar 间谍软件嵌入到用户可能会下载的合法软件(如 Adobe Photoshop 或 Zoom)的欺诈性安装程序中,并将其作为垃圾电子邮件的附件传递给目标
- Google 搜索广告:最近,最常见的 Vidar 传播方式之一是脚本中嵌入恶意软件的 Google 搜索广告。攻击者会创建与合法软件发布商的广告极为相似的 Google 广告,当毫无戒心的用户下载此软件并运行时,恶意软件就会执行并感染他们的设备。
- 勒索软件联合:在某些情况下,Vidar 僵尸网络会与各种勒索软件(如 STOP/Djvu 和 GandCrab)或恶意软件(如 PrivateLoader 和 Smoke)联合实施攻击。在这些高度恶意的攻击中,两种恶意软件一起传播,导致更广泛的感染和数据窃取,给受感染设备的用户带来问题。
如何防范 Vidar 窃取程序:5 个基本技巧
Vidar 窃取程序之所以构成威胁,因为它不仅可以窃取用户数据和系统信息,还可以用于传播更多类型的恶意软件。因此,个人和组织需要采取措施来避免遭受 Vidar 木马攻击。以下是五种有用的预防措施:
- 使用反病毒和网络防护软件来监控这些种类的网络威胁并消除它们。
- 采用电子邮件安全解决方案扫描所有收到的电子邮件并阻止潜在的可疑邮件。
- 记住密码最佳实践,包括使用密码管理器、建复杂密码和定期更改密码。
- 保持所有软件和操作系统为最新版本,以确保部署最新的安全补丁。
- 定期对计算机运行全面系统扫描,检查是否有未检测到的 Vidar 间谍软件或其他感染并将其删除。
这些措施应该成为更广泛的打击潜在安全漏洞和恶意活动的战略的一部分,包括使用虚拟专用网络 (VPN) 来隐藏设备的 IP 地址并加密所有在线活动。
Vidar 窃取程序:持续的威胁
Vidar 恶意软件是高度技术性的间谍软件。尽管这些攻击通常始于垃圾电子邮件、广告、破解软件或其他方式,但由于 Vidar 可以窃取大量信息,因此它们往往更加邪恶。这为攻击者提供了大量信息,可以用来实施进一步犯罪或在暗网上出售。不过,通过牢记基本的互联网和电子邮件安全最佳实践,可以最大限度地减少 Vidar 的威胁和这些攻击的成功率。
获取卡巴斯基优选版 + 1 年免费的 Kaspersky Safe Kids。卡巴斯基优选版荣获 AV-TEST 的最佳保护、最佳性能、最快 VPN、获认可的 Windows 家长控制和 Android 家长控制最佳评分等五个奖项。
相关的文章和链接:
相关产品和服务:
