跳至主內容

Vidar Stealer:深入瞭解

一名男子在他的手提電腦上看到 Vidar 惡意軟件警告。

惡意行為者的武器庫中有很多可用於向毫無戒心的目標竊取資訊的工具。近年,一個越來越常用的工具就是 Vidar Stealer。這種特殊的惡意軟件能非常有效地隱藏於受感染的設備中,從而竊取廣泛的資訊,並將這些資訊傳回攻擊者

但是,到底甚麼是 Vidar Stealer 呢,這些攻擊是如何運作的?

甚麼是 Vidar Stealer?

Vidar Stealer -- 有時也稱為 Vidar 間諜軟件,這是一種特定類型的惡意軟件,目的是攻擊設備,竊取設備系統內的個人資訊和加密貨幣錢包的資料。不過,Vidar 有時也會被用來向設備發送勒索軟件。

雖然 Vidar 殭屍網絡自 2018 年起已經存在,但對其確實來源並不清楚。但在 2023 年 11 月的一次訪問中,其作者確認該惡意軟件是 Arkei 木馬程式的進化版。它以惡意軟件即服務(malware-as-a-service)的方式運作,可以直接在在暗網中從開發者的網站購買。

Vidar 惡意軟件以其利用指令和控制基礎設施(或 C2 通訊)的方式而聞名。這種惡意軟件主要是透過 Telegram 和 Mastodon 等社交媒體網絡和最近在社交遊戲平台 Steam上進行傳播。

Vidar Stealer 如何運作?

Vidar 通常使用社交媒體作為其 C2 基礎設施,並作為其進程的一部分。通常,某個社交網絡個人檔案的位址會被植入 Vidar 惡意軟件,而這會在其規格中包含相關的 C2 IP 位址。這可讓間諜軟件控制該個人檔案,包括與其 IP 位址通訊、下載檔案和指令,甚至安裝更多惡意軟件。

然而,由於 Vidar 殭屍網絡的核心是資訊竊取程式,因此其主要功能是從受感染的設備收集敏感資訊,並將這些資料傳送給攻擊者。Vidar 可以竊取多種不同類型的資訊,包括:

  • 操作系統資料
  • 登入憑證
  • 信用卡或銀行資訊
  • 瀏覽器歷史記錄
  • 瀏覽器 Cookie
  • 設備上安裝的軟件
  • 下載的檔案
  • 加密貨幣錢包 - 特別是 Exodus、Ethereum、MultiDoge、Atomic、JAXX 和 ElectronCash
  • 螢幕截圖
  • 電郵地址
  • FTP 憑證

在某些情況下,當 Vidar 專門用於在設備上安裝惡意軟件時,它會使用其 C2 基礎設施指定一個連結,然後從該連結下載並執行受感染的檔案。這樣攻擊者就能存取設備並用於自己的目的,或在暗網上向其他網絡罪犯出售。

一旦成功下載到機器上,它會利用幾種方法來保持不被發現。通常,Vidar Stealer 會使用大型的可執行檔案,以避免被防毒掃描程式偵測到。專家在仔細分析後發現 Vidar 樣本在檔案末端包含空位元組(或在 .exe 檔案末端包含 0),從而人為地將檔案增大。由於檔案過大,通常會超出防惡意軟件的檔案限制而令其選擇跳過分析該檔案。此外,Vidar 檔案經常使用字串編碼和加密來增加防護軟件進行分析的難度。它也會使用已通過驗證並具有過期數碼憑證的檔案。

Vidar 木馬程式在感染相關設備後會盡可能竊取最多的資訊,然後會將所有資料打包成 ZIP 檔案並傳送至指令伺服器。然後,惡意軟件會自我毀滅,並刪除在設備系統內所有存在的證據。因此,調查 Vidar 惡意軟件攻擊非常困難。

Vidar 如何傳播?

Vidar 惡意軟件幾乎都是透過垃圾郵件傳播。目標通常會收到一封未經請求但看起來無害的電子郵件,類似網上購物的發票或訂閱更新的確認。該電子郵件通常會有一個附件,並指示目標打開該附件以獲得更多資訊。然而,在附件中已植人了 Vidar 惡意軟件,當目標打開時,惡意軟件便會部署。

最常見的情況是,附件是使用巨集腳本的 Microsoft Office 文件。因此,一旦打開文件,會要求使用者啟用巨集執行功能。當目標照著這樣做後,設備就會連線至惡意軟件伺服器,並開始下戴 Vidar Stealer。為了消除 Vidar 惡意軟件的攻擊,微軟改變了巨集執行的操作方式。

然而,網絡罪犯只需尋找不同的方式仍然能夠傳播 Vidar 木馬程式。這些方式包括:

  • 附件 ISO 檔案: Vidar 惡意程式也可透過電子郵件以附件 ISO 檔案的方式傳送,例如受感染的 Microsoft 編譯 HTML 說明 (CHM) 檔案和可執行的「app.exe」檔案,當附件被打開時,惡意程式便會啟動。
  • .zip 檔案:在一個特殊案例中,攻擊者假冒時尚品牌 H&M 發送網絡釣魚電子郵件,然後將收件人導向 Google Drive 資料夾,而他們需要從那裡下載 .zip 檔案來存取合約和付款資訊。該檔案會從那裡啟動 Vidar Stealer 攻擊。
  • 欺詐性安裝程式:攻擊者可將 Vidar 間諜軟件植入用戶在下載合法軟件(例如 Adobe Photoshop 或 Zoom)時需要使用的欺詐性安裝程式中,並將其作為垃圾郵件的附件發送給目標。
  • Google 搜尋廣告:最近,Vidar 最常用的傳播方式之一是透過在 Google 搜尋廣告的腳本中植入惡意軟件。攻擊者會製作類似來自合法軟件發行商的 Google 廣告,當不知情的使用者下載並執行該軟件時,惡意軟件就會執行並感染他們的設備
  • 聯合勒索軟件的攻擊:在某些情況下,Vidar 殭屍網絡與各種勒索軟件(例如 STOP/Djvu 和 GandCrab)或惡意軟件(例如 PrivateLoader 和 Smoke)聯合執行攻擊。在這些嚴重惡意攻擊中,這兩種惡意軟件一起傳播,導致更廣泛的感染、資料竊取,對受感染設備感染的使用者帶來各種問題。

如何防禦 Vidar Stealer:5 個必需遵守的提示

Vidar Stealer 所構成的威脅不僅是會竊取使用者資料和系統資訊,還可以用來傳送多種類型的惡意軟件。因此,個人和機構需要採取措施來避免受到 Vidar 木馬程式的攻擊。以下是五種有用的預防措施:

  1. 使用防毒軟件和網絡防護軟件來監控這類網絡威脅並瓦解其攻擊
  2. 使用電子郵件安全解決方案來掃描所有收到的電子郵件,並阻擋潛在的可疑訊息。
  3. 針對密碼使用的最佳實踐方法,包括使用密碼管理器、建立複雜的密碼,以及定期變更密碼。
  4. 為所有軟件和操作系統進行更新,以確保部署最新的安全修補程式。
  5. 定期對電腦執行完整的系統掃描,檢查是否有未偵測到的 Vidar 間諜軟件或其他感染,若發現即將其移除。

以上措施應該是對抗潛在安全漏洞和惡意活動的更廣泛策略的一部分,其他措施包括使用虛擬私人網絡 (VPN) 來隱藏設備的 IP 位址,並加密所有網上活動。

Vidar Stealer: 一種持續的威脅

Vidar 惡意軟件是技術性極高的間諜軟件。雖然這些攻擊通常以垃圾郵件、廣告、破解軟件或其他方式開始,但由於 Vidar 能竊取多種資訊,因此經常會造成更為惡毒的後果。這種惡意軟件能為攻擊者提供大量的資訊來執行進一步的犯罪活動,或在暗網上將該等資訊出售。不過,只要牢記基本的互聯網和電子郵件安全的最佳實踐方法,就有可能將 Vidar 的威脅和這些攻擊的成功率降到最低。

購買 Kaspersky Premium 可享 1 年免費 Kaspersky Safe Kids。Kaspersky Premium 榮獲五項 AV-TEST 獎項,分別是最佳保護、最佳效能、最快 VPN,Windows 批准的家長控制和 Android 家長控制的最佳評級

相關文章和連結:

相關產品和服務:

Vidar Stealer:深入瞭解

Vidar Stealer 是一種用於感染設備和竊取資訊的技術型惡意軟件。以下是它的運作原理以及如何採取預防措施。
Kaspersky 標誌

相關文章