Аналитики Aryaka раскрыли новые методы скрытного хищения данных инфостилером Vidar

Исследователи кибербезопасности из Aryaka Threat Research Labs провели детальный анализ новой варианты известного инфостилера (похитителя информации) Vidar, функционирующего по модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Впервые обнаруженный в конце 2018 года, Vidar продолжает активно развиваться, демонстрируя повышенную скрытность и устойчивость в системе. Основными его особенностями являются использование зашифрованных каналов управления (command-and-control, C2), злоупотребление легитимными системными утилитами (Living-off-the-Land Binaries, LOLBins) и скрытные методы вывода данных.

Описание

Vidar нацелен преимущественно на среду Windows и осуществляет целевой сбор конфиденциальной информации. Список похищаемых данных обширен: детали операционной системы, учётные данные браузеров, куки, история просмотров, данные автозаполнения и сохранённые банковские карты, файлы криптовалютных кошельков, информация из приложений двухфакторной аутентификации (2FA), учетные данные почтовых и FTP-клиентов, аутентификационные токены мессенджеров и игровых платформ, таких как Telegram, Discord и Steam, документы и резервные копии, а также скриншоты экрана. Собранная информация упаковывается, сжимается и передаётся на инфраструктуру злоумышленников для последующего использования или продажи в даркнете.

Основным каналом распространения Vidar остаётся социальная инженерия. Злоумышленники используют фишинговые письма с вредоносными вложениями или ссылками, скрытые загрузки с скомпрометированных сайтов, а также мошенническую рекламу, маскирующуюся под легитимные программы или обновления. Это позволяет вредоносной программе обходить базовые средства защиты, эксплуатируя доверие пользователей и имитируя легальный контент.

С технической точки зрения Vidar демонстрирует высокий уровень изощрённости. Атака начинается со скрипта PowerShell, который загружает две полезные нагрузки с удалённого сервера, используя скрытые методы: скрытые каталоги на основе GUID, случайные имена файлов, подмену User-Agent и логику повторных попыток с экспоненциальной задержкой. Скрипт отключает механизм сканирования AMSI (Antimalware Scan Interface), добавляет исключения в Защитник Windows и устанавливает постоянство через планировщик заданий.

Основная нагрузка Vidar внедряется в доверенные процессы, такие как msbuild.exe, для выполнения вредоносных действий, включая кражу учетных данных и взаимодействие с C2. Одной из ключевых особенностей является перехват API CryptProtectMemory, который используется браузерами для шифрования конфиденциальных данных в памяти. Вместо шифрования данные в открытом виде перехватываются и передаются через именованный канал. Это позволяет злоумышленникам обходить шифрование и незаметно похищать пароли и токены.

Для скрытия своей инфраструктуры Vidar динамически получает адреса C2 через механизм «мёртвых дропов», используя публичные профили в Telegram и Steam. Похищенные данные передаются через TLS-шифрованные POST-запросы с полезной нагрузкой в кодировке Base64, что дополнительно затрудняет обнаружение.

Многоэтапный подход Vidar, сочетающий скрытную доставку, внедрение в процессы, перехват системных функций и зашифрованную коммуникацию, делает его серьёзной и трудно обнаруживаемой угрозой. Эксперты подчёркивают важность повышения осведомлённости пользователей, использования современных средств защиты и регулярного обновления систем для противодействия подобным атакам.