Malware Vidar ukrywał się tam, gdzie nikt go nie szukał

Faza phishingu

Niektórzy cyberprzestępcy poświęcą ogromną ilość wysiłku na staranne stworzenie doskonałej wiadomości phishingowej. Kopiują grafikę znanej marki i komponują doskonały przekaz, a także wymuszają natychmiastowe działanie na użytkownikach.
Nie w tym przypadku. Tutaj atakujący prawdopodobnie poświęcili 3 minuty na stworzenie takiej wiadomości, a jeśli więcej to nie widać efektów.

Temat wiadomości – „Re: Not read: Coverage Enquiry 3.24.16” – w pewnym sensie sugeruje, że trwa dyskusja („Re”) i że odbiorca musi podjąć działanie. Jednak („Nie czytaj”) – jest skądinąd na tyle niejasne, by nie wzbudzić natychmiastowych podejrzeń, że to phishing. Treść maila jest jeszcze bardziej porywająca:

Ważne informacje dla Ciebie. Zobacz załącznik do tego e-maila.

Dziękuję!

Wspomniany załącznik jawi się odbiorcy jako „request.doc”, ale w rzeczywistości jest plikiem .ISO, które służą do kopiowania informacji z fizycznych dysków optycznych do jednego pliku. Jednak, jak zauważono w raporcie, hackerzy nauczyli się wykorzystywać pliki ISO jako kontenery złośliwego oprogramowania. Według Trustwave, od 2019 r. nastąpił „znaczący wzrost” tej strategii. W tym samym czasie sam Vidar zaczął zdobywać popularność.

Malware Vidar

Vidar to rodzaj uniwersalnego złodzieja informacji, wywodzącego się z rodziny złośliwego oprogramowania Arkei.
Po zainstalowaniu w systemie kradnie dokumenty, pliki cookie i historie przeglądarek (w tym z Tor’a), walutę z szerokiej gamy portfeli kryptowalut, dane z oprogramowania do uwierzytelniania dwuskładnikowego i wiadomości tekstowych, a także może robić zrzuty ekranu. Pakiet oferuje również operatorom „szkodnika” powiadomienia w Telegramie o ważnych zdarzeniach. I wreszcie, cyberprzestępcy mogą dostosować złodzieja za pomocą profili, co pozwala im określić rodzaj danych, którymi są zainteresowani. Sam malware jest bardzo popularny i od około 2 lat można znaleźć go na wielu podejrzanych witrynach do zakupienia normalnie jako software. Oficjalna strona Vidar znajduje się w sieci Tor i pewnie tam należy szukać wszystkich świeżych informacji na jego temat.

Łańcuch infekcji

W tej najnowszej kampanii plik .ISO zawiera plik .CHM o nazwie „pss10r.chm”. Pod koniec kodu pliku znajduje się fragment kodu aplikacji HTML (HTA) zawierający JavaScript, który potajemnie uruchamia drugi plik „app.exe”. W rzeczywistości jest to oczywiście złośliwe oprogramowanie Vidar.

Jednym z obiektów rozpakowanych z pliku .CHM jest plik HTML „PSSXMicrosoftSupportServices_HP05221271.htm” — główny obiekt, który jest ładowany po otwarciu pliku CHM pss10r.chm. Kod HTML ma zaszyty obiekt przycisku, który automatycznie uruchamia ciche ponowne wykonanie pliku .CHM „pss10r.chm” z windowsowego zaufanego mshta.

Natychmiast po uruchomieniu app.exe Vidar pobiera swoje zależności i ustawienia konfiguracyjne z serwera dowodzenia (C2), który jest pobierany z witryny Mastodon, platformy społecznościowej o otwartym kodzie źródłowym. Następnie złośliwe oprogramowanie przeszukuje dwa zakodowane na stałe profile i pobiera adres C2 z sekcji Bio.

Potem Vidar przechodzi już w docelową fazę. Wszelkie informacje, które wysysa, są odsyłane z powrotem do C2. Malware może również pobrać dodatkowe złośliwe oprogramowanie na maszynę docelową. Po wykonaniu zadania złośliwe oprogramowanie zakrywa swoje ślady, usuwając wszystkie utworzone przez siebie pliki.

„Widzieliśmy, jak ta technika jest ostatnio używana dość często” – powiedział starszy kierownik ds. badań nad bezpieczeństwem w Trustwave SpiderLabs – „oraz różne próby zagnieżdżenia ataku (od .ISO przez .CHM do .HTA do JavaScript do wykonania) pokazuje, jak długo ci aktorzy będą próbowali zaciemnić i ukryć swój atak w środowisku korporacyjnym”.