Vidar Stealer IOCs - Part 4

Spyware IOC

Vidar Malware - один из активных Infostealers, распространение которого значительно увеличивается. Его особенности включают использование известных платформ, таких как Telegram и Mastodon, в качестве посредника C2.

Vidar Stealer

Vidar постоянно обновлялся, пока активно распространялся. В последних распространенных образцах, помимо Telegram и Mastodon, использовались различные другие платформы, такие как Steam и TikTok. В этой статье мы постараемся подробно рассказать об этих случаях.

Когда пользователь создает аккаунт на онлайн-платформе, создается уникальная страница аккаунта, доступ к которой может получить любой желающий. Угрожающие субъекты вписывают идентифицирующие символы и адрес C2 в отдельные части этой страницы.

Когда вредоносная программа выполняется, она обращается к странице учетной записи угрожающего субъекта для поиска строки идентификатора и нахождения адреса C2. Затем она выполняет вредоносные действия, связываясь с этим C2-сервером.

Такие публичные URL-адреса платформ трудно блокировать с помощью решений безопасности. Даже если C2-сервер угрожающего субъекта заблокирован, открытие нового C2-сервера и редактирование страницы учетной записи позволит всем ранее распространенным вредоносным программам общаться с новым C2-сервером.

Общей чертой эксплуатируемых сервисов является то, что на этих платформах сравнительно легко создать учетную запись.

Vidar Stealer IOCs

Indicators of Compromise

URLs

  • http://www.tiktok.com/@user6068972597711
  • http://www.ultimate-guitar.com/u/smbfupkuhrgc1
  • c.im/@xinibin420
  • c.im/@xiteb15011
  • ioc.exchange/@xiteb15011
  • ioc.exchange/@zebra54
  • mas.to/@kyriazhs1975
  • mas.to/@ofadex
  • mas.to/@zara99
  • mastodon.online/@olegf9844g
  • nerdculture.de/@tiaga00
  • nerdculture.de/@yixehi33
  • nerdculture.de/@yoxhyp
  • steamcommunity.com/profiles/76561199436777531
  • steamcommunity.com/profiles/76561199439929669
  • steamcommunity.com/profiles/76561199441933804
  • t.me/asifrazatg

MD5

  • 0b9a0f37d63b0ed9ab9b662a25357962
  • 256594282554abed80536e48f384d2e8
  • 483ec112df6d0243dbb06a9414b0daf6
  • a46f7096a07285c6c3fdfdf174c8a8b0
  • ce1eb73f52efe56356ee21b9c4c4c6c4
SEC-1275-1
Добавить комментарий