Vidar Stealer - печально известная вредоносная программа для кражи информации - впервые появилась в 2018 году и с тех пор используется злоумышленниками для сбора конфиденциальных данных, таких как куки браузера, сохраненные учетные данные и финансовая информация. Со временем методы его распространения эволюционировали, адаптируясь к различным векторам атак, таким как вредоносные вложения электронной почты или рекламные кампании. Этот похититель информации функционирует как вредоносное ПО как услуга (MaaS) и может быть напрямую куплен в «темной паутине».
Описание
Описание
Один из недавних примеров - PirateFi, бесплатная игра, выпущенная на Steam 6 февраля 2025 года. Представленная как бета-версия, она скрывала в своих файлах Vidar Stealer, заражая ничего не подозревающих игроков при установке. Этот инцидент свидетельствует о том, что атакующие все чаще используют игровые платформы для распространения вредоносного ПО.
В ходе поиска вариантов Vidar Stealer был обнаружен необычный образец с всего пятью обнаружениями на VirusTotal по состоянию на 9 марта 2025 года. Низкий процент обнаружения говорит о возможной обфускации или новом варианте. Интересно, что компания G Data отметила этот файл как VidarStealer, что послужило толчком к дальнейшему расследованию.
Изучение метаданных на VirusTotal выявило одну интересную деталь: имя файла, BGInfo.exe, связано с инструментом Microsoft Sysinternals's legit, но его сигнатура просрочена. Просроченные подписи означают, что на файл больше не распространяется действие сертификата, что вызывает опасения по поводу возможного взлома или несанкционированных изменений. Киберпреступники часто используют просроченные подписи, маскируя вредоносные файлы под легитимные, зная, что некоторые механизмы безопасности все еще распознают их как подписанные исполняемые файлы.
Файл, идентифицированный как BGInfo.exe и имеющий размер 10,20 МБ, был отмечен как вредоносный 15 из 73 поставщиков услуг безопасности. Он обладает такими тегами, как «peexe», «detect-debug-environment», «signed», «overlay» и «invalid-signature», и последний раз анализировался на VirusTotal один день назад.
BGInfo - это инструмент системной информации, разработанный компанией Microsoft и широко используемый ИТ-специалистами и аналитиками по кибербезопасности для отображения ключевых сведений о системе, таких как IP-адреса, доменные имена и время работы системы, непосредственно на обоях рабочего стола. Он позволяет службам безопасности быстро оценить конфигурацию системы без ручной проверки ее свойств, что делает его ценным инструментом для управления и мониторинга корпоративных сред.
25 февраля в дикой природе был замечен образец вредоносной программы, эмулирующий время создания легитимного бинарного файла (13 февраля 2025 года), чтобы не вызывать подозрений. Атакующие часто используют обновления программного обеспечения для распространения вредоносных версий, зная, что пользователи с большей вероятностью доверяют обновлениям и устанавливают их, когда они ожидаются. Используя это время, киберпреступники увеличивают вероятность загрузки и выполнения вредоносной полезной нагрузки.
Чтобы определить, является ли обновление BGInfo скомпрометированным, необходимо провести прямое сравнение с официальной версией. Поскольку BGInfo.exe является частью пакета Microsoft Sysinternals Suite, любое значительное отклонение от известных характеристик оригинального файла может указывать на компрометацию. Ключевыми показателями являются размер файла (официальный: 2,1 МБ, подозрительный: 10,2 МБ) и хэширование файла (официальная и подозрительная версии имеют разные криптографические хэши).
Вредоносный файл BGInfo имеет просроченную подпись и значительно больший размер файла по сравнению с легитимной версией. Эти различия вызывают подозрения в компрометации.