Vidar снова меняется: переменная полезная нагрузка и более совершенная обфускация для этой новой волны

2 февраля 2025 года была обнаружена новая кампания Vidar, которая использовала усовершенствованные методы обфускации и использовала алгоритм Domain Generation Algorithm (DGA) для генерации вредоносных адресов.

Vidar Stealer

Было выявлено 136 корневых доменов, связанных с этой кампанией. URL-адреса для распространения вредоносной программы оставались неактивными на начальном этапе, активизируясь только на следующий день, чтобы избежать блокировки. Вредоносная программа также использовала более сложные методы обфускации, усложняя статический анализ и обнаружение автоматическими средствами защиты. Кроме того, Vidar постоянно меняет полезную нагрузку после заражения, выпуская новые вредоносные программы, принадлежащие к разным семействам. Эти методы позволяют киберпреступникам успешно заражать системы, уклоняясь от блокировки.

Indicators of Compromise

IPv4

• 45.61.138.200

Domains

• ffjihcnfkhihlmd.top
• idioinc.com
• kibcfmgnahkgand.top
• thelittlebigempire.com
• thelovelysarahnichole.com
• themachinerybuyers.com
• themagicofplace.com
• themakeitstore.com
• themfaagency.com
• thenarcissismnetwork.com
• thenootropicsguide.com
• thenoushkashow.com
• theollivander.com
• theopulentgems.com
• theouttedshaman.com
• theparentpager.com
• thepernateamannarbor.com
• thepikeman.com
• theplantedguide.com
• theplaybackband.com
• thepluggedinmusician.com
• thepolymathicshaman.com
• thepoochery.com
• thepranichealing.com
• theprojectboxboard.com
• theprosaist.com
• theproversation.com
• therapeuticpsychology.com
• thereadingandwritingtutor.com
• therisereign.com
• thernrco.com
• therollingsquare.com
• theroyalresonance.com
• thesacredpathschool.com
• theseniorshow.com
• theserpentschoice.com
• theshopsnearme.com
• theslightlyfaded.com
• thesnowbee.com
• thesolarsheet.com
• thessalonikiairporttaxi.com
• thethailandtravelhub.com
• thetortemk.com
• thetransformationalgrowthacademy.com
• thetriviaproject.com
• the-tuning-workshop-dealerzone.com
• thevapeexpress.com
• thevitaminscompany.com
• thewildnotions.com
• theylleatforever.com
• thezealotbusinessagency.com
• thinkmagicmedia.com
• thinkmovefeelwell.com
• thinkpublishers.com
• thinkthegift.com
• thisindiecreator.com
• thisisdlsmade.com
• thisisrandiimas.com
• thosegentlemen.com
• thoughtblob.com
• threat-expert.com
• three-mongos.com
• thrivefulness.com
• thuanart.com
• thumbmarket.com
• tiendabarmesa.com
• tiendabombasbarnes.com
• tigereyegraphics.com
• tiggy123.com
• tiktauli.com
• timbreblocks.com
• timchapmanforfairfax.com
• time4showgt.com
• timecapitalbitbank.com
• timeforstudio.com
• timothynew.com
• timothyridgefarm.com
• tinkerandtwig.com
• tinytreasuredkeepsakes.com
• tipsaplastics.com
• tirionnetbw.com
• titanzinterior.com
• tk-9.com
• tk9frenchies.com
• tlcmmwave.com
• tmeador.com
• tmkeenlogistics.com
• tngiants.com
• tntwocfo.com
• todayybigbazzarr.com
• tofa7a.com
• tokmanni-finland.com
• tokointernet.com
• tommykhoa.com
• tomotupedido.com
• tonicunningham.com
• tonireilly.com
• tonysschlockfest.com
• toocleandetails.com
• topbitcoinideas.com
• topcommercialbrokers.com
• topdeckshirts.com
• topdiscountedproducts.com
• topfunsports.com
• toptravelflights.com
• topvideoslotscasino.com
• torah4today.com
• torontosegwayrentals.com
• totaltechnyc.com
• tourismheroawards.com
• towerhosts.com
• toyland-planet.com
• tqrecords.com
• trackedpackage.com
• trackercardz.com
• trackmytow.com
• tracyslatton.com
• tradercompare.com
• tradeskillpro.com
• tradespaceapp.com
• trailblazerwheels.com
• trailsofintrigue.com
• trainedbuyer.com
• trankvila.com
• transcriptsearcher.com
• transgenderlockerroomaccess.com
• translatinotranslation.com
• traphousegolf.com
• trappseptic.com
• trapthekiller.com
• traveledcity.com
• travelingveteran.com
• travelinparis.com
• travelmotivate.com
• travelonmymind.com
• travelseverywhere.com
• traveltransformslives.com
• travelzgo.com
• traversecityirrigation.com
• treadpoint.com
• treasuredcrown.com
• treeservicelapeermi.com
• trendingbabz.com
• trendykala.com
• triggertrader.com
• trillionserver.com
• trinesoulrenewal.com
• trinitazcap.com
• triviasuperxtra.com
• tubuz3ubhz222.top

URLs

• http://ffjihcnfkhihlmd.top/1.php
• https://idioinc.com/5t4a.js
• https://idioinc.com/js.php

MD5

• 7ee8a19e94c10ad9fbfb7367ec26378b

SHA1

• 50227db22d2d75b768653a7edfe11061d3c9f416

SHA256

• 3b98dbb7962739800e54afdd915ba344f4359c369e3ee7693998b986611c476d