Vidar - это опасная вредоносная программа, которая похищает информацию и криптовалюту у зараженных пользователей. Он получил свое название от древнескандинавского бога мести. Этот крадун терроризирует интернет с 2018 года.
Что такое вредоносная программа Vidar?
Vidar - это троян, похищающий информацию, который впервые был обнаружен в декабре 2018 года. Он является либо развилкой Arkei, либо результатом его эволюции. Названный в честь бога мести из скандинавской мифологии, Vidar используется для кражи информации из зараженных систем, создания скриншотов, кражи криптовалюты и многого другого.
Общее описание вредоносной программы Vidar
Предполагается, что Vidar был создан в русскоязычной стране, поскольку вредоносная программа настроена на прекращение выполнения, если обнаружит, что она запускается на машине, расположенной в одной из стран бывшего СССР, или на машине с русской раскладкой клавиатуры.
Будучи еще одной киберугрозой, доступной для покупки по бизнес-модели MaaS (Malware-as-a-Service), Vidar можно приобрести на "официальном" сайте за внушительную цену в 700 долларов, по крайней мере, за PRO-версию. Хотя урезанную версию вредоносной программы можно приобрести всего за 250 долларов.
Согласно анализу трояна Vidar, вредоносная программа написана на языке программирования C++. Приобретение учетной записи дает злоумышленнику доступ к панели управления, где киберпреступник может настроить вредоносную программу на определенную информацию на ПК жертвы. Как и в случае с Arkei, киберпреступникам необходимо принять меры предосторожности, чтобы защитить основную полезную нагрузку самостоятельно, используя криптографию или упаковщик. На панели управления отображается текущая версия сборщика, настройки пользователя, статус вредоносной программы и журналы. Следует отметить, что похититель данных Vidar использует доменные имена для поиска C&C-серверов, куда сбрасываются украденные данные, меняющиеся каждые четыре дня. Хотя они постоянно меняются, требуется постоянная реакция.
Vidar способен похищать текстовые файлы в различных форматах, файлы cookie и историю браузера, записи браузера, включая данные из TOR, а также информацию об автозаполнении значений, включая данные банковских и кредитных карт. Согласно анализу Vidar, вредоносная программа может искать информацию о криптовалютных кошельках, делать скриншоты и действовать как похититель сообщений, записывая личные сообщения из различных программ.
Более того, известно, что Vidar также способен похищать цифровые монеты из автономных кошельков. Фактически, владельцы Litecoin, Bitcoin, Ethereum, Zcash и DashCore находятся в потенциальной опасности, поскольку именно эти криптовалюты в настоящее время поддерживаются вредоносной программой.
После сбора всей целевой информации вредоносная программа архивирует ее и отправляет украденные данные на управляющий сервер, после чего Vidar удаляет следы своей работы и удаляется из системы.
Процесс выполнения Vidar
Согласно анализу Vidar, после того как пользователь загружает и запускает вредоносный файл, он порождает дочерний процесс и собирает информацию из зараженной системы. Часто после сбора информации вредоносная программа убивает и удаляет себя из системы с помощью команды командной строки.
Как избежать заражения вредоносной программой Vidar?
При распространении через спам-кампании электронной почты, такие как NanoCore или Agent Tesla, крадущая программа Vidar требует от пользователя загрузить и запустить вредоносный файл, чтобы перейти в активное состояние и начать выполнение. Поэтому соблюдение некоторых основных правил кибербезопасности может гарантировать, что пользователи останутся в безопасности от вредоносного ПО Vidar, а группа реагирования на инциденты будет работать эффективно.
Так, пользователи должны быть осторожны при загрузке вложений в электронных письмах от неизвестных отправителей. Лучше всего вообще не загружать такие файлы, чтобы не подвергать себя опасности.
Кроме того, загрузка только лицензионного программного обеспечения из надежных источников и отказ от взлома игровых клиентов значительно снижают риск заражения вредоносным ПО, таким как троян Vidar, который использует эти векторы атаки для заражения жертв.
Процесс распространения Vidar
Согласно анализу трояна Vidar, Vidar распространяется через спам-рассылки электронной почты в виде вредоносного вложения, как и другие вредоносные программы. Кроме того, были зафиксированы случаи распространения Vidar с помощью теневого программного обеспечения и игровых хакерских клиентов. Инфопрограмма Vidar нацелена на пользователей по всему миру, за исключением некоторых стран бывшего СССР, включая Россию.
Заключение
Vidar - это опасный троян для кражи информации, распространяемый как вредоносное ПО как услуга. Благодаря обширному набору функций, троян Vidar может использоваться для получения самой разнообразной информации, включая кражу отдельных криптовалютных монет у пользователей. Кроме того, Vidar способен похищать данные из TOR.