CERT-AgID, совместно с затронутыми менеджерами PEC, противостоял новой массивной кампании вредоносного ПО, передаваемого через PEC, которая, по-видимому, похожа на ту, что уже наблюдалась для sLoad.
Vidar Trojan
Атака, которая началась в 00:02 05-07-2023 и завершилась через два часа, использовала ряд ранее скомпрометированных CEM для отправки сообщений на другие CEC, предлагая получателям нажать на ссылку в теле сообщения, чтобы загрузить поддельный счет.
Файл, загружаемый при нажатии на ссылку 'Invoice', представлял собой ZIP, содержащий VBS-файл InvoiceXXXXXXX.vbs, который, помимо эксплуатации bitsadmin, как уже наблюдалось для sLoad, также использовал certutil для загрузки исполняемого файла (Vidar) с удаленного сервера.
Для отслеживания количества скомпрометированных машин скрипт отправляет HTTP-запрос на дополнительный удаленный сервер с указанием IP-адреса жертвы и имени машины.
Чтобы скрыть запросы, выдавая их за легитимные, и получить информацию об IP-адресах для связи, Vidar устанавливает легитимные соединения с профилем пользователя Steam и каналом Telegram, из которых извлекает адреса серверов, с которыми нужно установить связь.
В качестве вектора заражения авторы кампании использовали установочный пакет InnoSetup с оригинальным дистрибутивом Python 3.11 внутри, но с модифицированной DLL (python311.dll) для выполнения шеллкода. Из-за необходимых зависимостей исполняемого файла и хостовой DLL вредоносная программа не может инициировать заражение на машинах под управлением Windows 7 и более ранних версий.
Vidar - это недавно появившаяся вредоносная программа в виде сервиса (Q4 2022), принадлежащая к семейству infostealer, которая, захватив систему, получает информацию из..:
- Популярные браузеры: пароли, cookies, автозаполнение и история;
- цифровых кошельков;
- Данные кредитных карт;
- Авторизация в Telegram;
- учетные данные доступа к FTP, WINSCP, MAIL.
Разработчики Vidar создали русскоязычный канал Telegram, за которым в настоящее время следят более 3 000 пользователей, для обеспечения поддержки и выпуска обновлений новых версий. Они также могут похвастаться надежной и защищенной от DDoS-атак инфраструктурой C2.
Indicators of Compromise
IPv4
- 116.202.176.70
- 116.203.14.106
- 195.123.212.32
- 195.123.218.236
- 5.75.208.184
Domains
- creativevim.com
- estoresinc.com
URLs
- http://116.202.176.70/
- http://116.203.14.106/
- http://195.123.218.236:8080/data/
- http://5.75.208.184:27016/
- http://5.75.208.184:27016/e7ea1e37142cdab711cad668b60e14ab
- https://creativevim.com/?r=zmgxabf57sht
- https://estoresinc.com/scorp/dkjhe.exe
- https://steamcommunity.com/profiles/76561199523054520
- https://t.me/game4serv
MD5
- 2bf6ddc2abe23a073214f97644b3b7dd
- 59a8f13c7584cb4c00658586b8b6d98d
- f0aadc6ed02caabdb46c49798e18e811
SHA1
- 1d8235fb23afe858e75f2a845fcdbf9a54475d92
- 76f63831c6e4c67b35c80917ff249d8f1509e74c
- fa7f01fb2705c3ffcedb2a30146945f0d06bbd38
SHA256
- 8d3167431ad75dcece76d687e5728830b358d9cf139c1ffbad9745d7b51d3267
- a039201075dfcd3f9394d380ec87c94a2898d2ce47501326ad387f12613dda6e
- fa70210641dbdb01ebd60ff4b1e39efeeaa16d4570ef97f9f20824f5adb7d43c