Vidar Stealer IOCs - Part 11

Spyware IOC

Создатели Vidar распространяют его, добавляя комментарии на YouTube, содержащие ссылки на ZIP- или RAR-архив, размещенный на файлообменной платформе, которая меняется каждую неделю. Архив защищен паролем, но пароль можно найти по тому же URL, что и сам архив.

Vidar Stealer

Загруженный архив содержит еще один защищенный паролем архив, в котором находятся следующие файлы:

  • converter.exe: легитимное приложение ImageMagick;
  • vcomp100.dll: вредоносная DLL, используемая для перехвата DLL;
  • bake.docx: зашифрованный загрузчик первой стадии;
  • blindworm.avi: IDAT-загрузчик, полезная нагрузка второго этапа.

Легитимный файл converter.exe загружает vcomp100.dll, поскольку первая уязвима для перехвата DLL. Далее вредоносная DLL считывает зашифрованный файл «bake.docx», получает полезную нагрузку и ключ по заданному смещению и декодирует полезную нагрузку. Эта полезная нагрузка представляет собой вариант загрузчика Penguish, содержащий упакованный в IDAT образец. Это означает, что мы можем использовать экстрактор IDAT-загрузчика для извлечения конечной полезной нагрузки, которой является кража Vidar.

Интересно то, что вместо кражи данных Vidar на самом деле загружает ACR-крадуна. Последний, как и многие другие похитители в наши дни, интересуется данными браузера и кошельками. Vidar тоже обычно нацелен на те же типы данных, однако в данном случае он использует ACR Stealer в качестве модуля эксфильтрации.

Согласно данным телеметрии, большинство жертв находятся в Бразилии.

Indicators of Compromise

MD5

  • 6f9d3babdeea3275489589ee69bc3f31

SHA1

  • 1e5d7e2fd135b4974c08711612b902864ba84615

SHA256

  • 8ac36f3ab156417eb85f21e818369ce84725524208a42e45defdbbf94f2cd8b9
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий