Создатели Vidar распространяют его, добавляя комментарии на YouTube, содержащие ссылки на ZIP- или RAR-архив, размещенный на файлообменной платформе, которая меняется каждую неделю. Архив защищен паролем, но пароль можно найти по тому же URL, что и сам архив.
Vidar Stealer
Загруженный архив содержит еще один защищенный паролем архив, в котором находятся следующие файлы:
- converter.exe: легитимное приложение ImageMagick;
- vcomp100.dll: вредоносная DLL, используемая для перехвата DLL;
- bake.docx: зашифрованный загрузчик первой стадии;
- blindworm.avi: IDAT-загрузчик, полезная нагрузка второго этапа.
Легитимный файл converter.exe загружает vcomp100.dll, поскольку первая уязвима для перехвата DLL. Далее вредоносная DLL считывает зашифрованный файл «bake.docx», получает полезную нагрузку и ключ по заданному смещению и декодирует полезную нагрузку. Эта полезная нагрузка представляет собой вариант загрузчика Penguish, содержащий упакованный в IDAT образец. Это означает, что мы можем использовать экстрактор IDAT-загрузчика для извлечения конечной полезной нагрузки, которой является кража Vidar.
Интересно то, что вместо кражи данных Vidar на самом деле загружает ACR-крадуна. Последний, как и многие другие похитители в наши дни, интересуется данными браузера и кошельками. Vidar тоже обычно нацелен на те же типы данных, однако в данном случае он использует ACR Stealer в качестве модуля эксфильтрации.
Согласно данным телеметрии, большинство жертв находятся в Бразилии.
Indicators of Compromise
MD5
- 6f9d3babdeea3275489589ee69bc3f31
SHA1
- 1e5d7e2fd135b4974c08711612b902864ba84615
SHA256
- 8ac36f3ab156417eb85f21e818369ce84725524208a42e45defdbbf94f2cd8b9