Vidar Stealer koristi nove taktike obmane

AUTOR ·

Zlonamjerni softver Vidar Stealer napravio je novi zaokret, usvajajući nove taktike za izbjegavanje otkrivanja i krađu osjetljivih informacija od nesvjesnih žrtava. Ovaj zlonamjerni softver je prošao kroz značajne transformacije, uključujući nove taktike kao što je iskorišćavanje digitalnih potpisa sa isteklim rokom trajanja i maskiranje u pouzdan softver, pokazuje istraživanje kompanije G Data.

Vidar Stealer

Vidar Stealer koristi nove taktike obmane; Source: Bing Image Creator

VIDAR STEALER

Vidar Stealer je zloglasni zlonamjerni softver za krađu informacija koji se prvi put pojavio 2018. godine. Od svog početka, ovaj zlonamjerni softver koriste zlonamjerni akteri za prikupljanje osjetljivih podataka od nesvjesnih žrtava. Obim štete koju je prouzrokovao Vidar Stealer zlonamjerni softver je zapanjujući, pri čemu su kolačići internet pregledača, uskladišteni akreditivi i finansijske informacije samo nekoliko primjera tipova podataka koji su postali plijen njegovih napada.

Evolucija Vidar Stealer zlonamjernog softvera nije bila ništa drugo do izuzetna. Razvijen iz Arkei trojanca, ovaj zlonamjerni softver se vremenom prilagodio različitim vektorima napada. U početku se širio putem zlonamjernih priloga elektronske pošte i zlonamjernih kampanja osmišljenih da prevare korisnike da preuzmu i izvrše korisni sadržaj (eng. payload). Međutim, kako su se mjere sajber bezbjednosti poboljšale, zlonamjerni akteri su morali da budu kreativni u svojim metodama distribucije. Jedan nedavni primjer za ovo je PirateFi, besplatna igra koja je objavljena na Steam platformi 6. februara 2025. Reklamirana kao beta verzija, sakrila je Vidar Stealer zlonamjerni softver u svojim datotekama, inficiravši nesvjesne igrače nakon instalacije.

Jedan od najzabrinjavajućih aspekata Vidar Stealer zlonamjernog softvera je njegova funkcija zlonamjerni softver kao usluga (eng. malware-as-a-service – MaaS). Ovaj model omogućava zlonamjernim akterima sa minimalnom tehničkom stručnošću da primjenjuju sofisticirane napade, što im olakšava da se uključe u distribuciju zlonamjernog softvera. Nudeći ovu uslugu na mračnim internet tržištima, zlonamjerni akteri mogu da prodaju svoju robu svima koji su spremni da plate cijenu. Rezultat je uspješan ekosistem distributera zlonamjernog softvera koji se stalno prilagođavaju i razvijaju svoje taktike kako bi ostali korak ispred mjera sajber bezbjednosti.

 

Novi način distribucije

Najnoviji način distribucije Vidar Stealer zlonamjernog softvera je maskiranje u legitimni Microsoft Sysinternals uslužni program pod nazivom BGInfo.exe, što predstavlja značajnu eskalaciju za korisnike. Ciljajući alate koje obično koriste IT profesionalci i bezbjednosni timovi, zlonamjerni akteri su povećali šanse za uspješnu infiltraciju u okruženja organizacija u kojima ima mnogo osjetljivih podataka.

Zlonamjerna datoteka se predstavlja kao ažuriranje legitimnog uslužnog programa BGInfo iz februara 2025. godine, zajedno sa isteklim Microsoft digitalnim potpisom. Ovaj nivo pažnje na detalje nije ništa drugo do izuzetan, što pokazuje da su zlonamjerni akteri spremni da ulože vreme i resurse u stvaranje ubjedljivih obmana. Dok je legitimni BGInfo.exe veličine približno 2,1 MB, zlonamjerna varijanta je znatno veća od 10,2 MB zbog skrivenog zlonamjernog kôda — kritičnog pokazatelja da nešto nije u redu.

Kompromitujući same uslužne programe na koje se bezbjednosni timovi oslanjaju, zlonamjerni akteri su stvorili novi nivo ranjivosti unutar okruženja organizacije. Ovo ne samo da povećava rizik od uspješne infiltracije, već i podriva povjerenje u legitimne alate i softver.

 

Funkcionisanje i mogućnosti

Kada se izvrši inicirana BGInfo datoteka, zlonamjerni softver modifikuje rutinu inicijalizacije BGInfo.exe, posebno mijenjajući rukovanje gomile procesa za buduće alokacije memorije i preusmjerava izvršenje na svoju zlonamjernu funkciju.

Ova pametna manipulacija obezbjeđuje da datoteka pokreće zlonamjerni kôd umjesto očekivane BGInfo funkcionalnosti. Znak kompromitovanja uređaja je da inicirana verzija ne ažurira pozadinu radne površine – ključnu karakteristiku legitimne alatke. Ovaj propust služi kao upozorenje, što ukazuje da je nešto pošlo po zlu sa normalnim funkcionisanjem sistema.

Po izvršenju, kompromitovani BGInfo binarna datoteka narušava uobičajeni proces inicijalizacije Umjesto da obavlja legitimne funkcije, zlonamjerni softver dodjeljuje memoriju preko VirtualAlloc za naredne faze korisnog opterećenja. U ovom zlonamjernom memorijskom prostoru nalazi se Vidar Stealer zlonamjerni softver, koji preusmjerava tok izvršavanja na svoje rutine izmjenom kritičnih početnih tačaka niti povezanih sa Windows API funkcijama kao što je RtlUserThreadStart. Manipulišući kritičnim sistemskim procesima i dodjeljivanjem memorije za naredne faze korisnog opterećenja, zlonamjerni akteri su stvorili okruženje u kojem Vidar Stealer može napredovati, što je svjedočanstvo genijalnosti i odlučnosti zlonamjernih aktera

Dodatni dokazi o kompromitovanju primijećeni su kroz poređenja između legitimnih i zlonamjernih binarnih datoteka. Inficirana izvršna datoteka mijenja procese upravljanja dinamičkom memorijom kako bi izvršila svoje zlonamjerno opterećenje, a pregledi pomoću alata za ispravljanje grešaka (eng. debugger) otkrili su ključne nizove povezane sa Vidar Stealer zlonamjernim softverom, uključujući reference na popularne aplikacije poput Telegram, Steam i kripto novčanika kao što su BraveWallet i Monero. Ovo ukazuje na ciljane pokušaje ekstrakcije sačuvanih podataka za prijavu i sesijskih tokena.

Treba imati na umu da je Vidar Stealer zlonamjerni softver dobro dokumentovan zbog svoje sposobnosti da prikuplja akreditive, otima kolačiće internet pregledača i krade podatke o sesijama sa istaknutih servisa kao što su Discord, AWS i FileZilla. U tom kontekstu, nedavna analiza naglašava njegove dosljedne obrasce napada, koji uključuju:

  • Krađa podatka za prijavu: Preuzimanje korisničkih imena i lozinki sačuvanih u internet pregledaču;
  • Ugrožavanje novčanika za kriptovalute: Pristup podacima iz novčanika za krađu sredstava;
  • Otmica sesije: Pribavljanje tokena radi zaobilaženja mehanizama autentifikacije;
  • Ugrožavanje skladišta u oblaku: Kompromitovanje podatka za prijavu za Azure i druge platforme.

Sigurnosni istraživači su potvrdili da se najnovija varijanta Vidar Stealer zlonamjernog softvera ponaša slično svojim prethodnicima, ne pokazujući značajna odstupanja u funkcionalnosti osim svoje napredne tehnike maskiranja. Ova dosljednost je razlog za zabrinutost, jer sugeriše da zlonamjerni akteri usavršavaju svoju taktiku sa svakom novom iteracijom ovog zlonamjernog softvera.

 

Uticaj

Ovaj sofisticirani zlonamjerni softver je evoluirao tokom vremena, prilagođavajući se kako bi izbjegao otkrivanje i održao postojanost u kompromitovanim sistemima. Njegova najnovija taktika zloupotrebe BGInfo, pouzdanog alata kompanije Microsoft koji koriste IT profesionalci naglašava uticaj Vidar Stealer zlonamjernog softvera na profesionalce u sajber bezbjednosti i administratore sistema koji se ne smije zanemariti.

Uticaj ovakve tehnika prevare je značajan, jer omogućavaju zlonamjernim akterima da potencijalno zaobiđu uobičajene bezbjednosne provjere i dobiju pristup osjetljivim podacima, a da ne budu otkriveni. U slučaju Vidar Stealer zlonamjernog softvera koji je kontinuirano prilagođavan za prikupljanje kolačića internet pregledača, uskladištenih podatka za prijavu i finansijskih informacija iz kompromitovanih sistema, ovo je značajna prijetnja. Ovo ne samo da dovodi u opasnost pojedinačne korisnike, već i ugrožava bezbjednost organizacije, što potencijalno dovodi do značajnih finansijskih gubitaka ili štete po reputaciju.

Posebno se ne smije precijeniti uticaj na administratore sistema, jer su oni često prva linija odbrane od napada zlonamjernog softvera kao što je Vidar Stealer. Oni igraju ključnu ulogu u održavanju bezbjednosti organizacije i obezbjeđivanju da sistemi ostanu zaštićeni od unutrašnjih i spoljašnjih prijetnji. Međutim, sa sofisticiranim alatima kao što je Vidar Stealer koji se koriste napredne tehnike za obmanu i izbjegavanje otkrivanja, administratori sistema moraju biti oprezni i proaktivni u praćenju aktivnosti sistema u potrazi za znakovima kompromitovanja.

 

ZAKLJUČAK

Vidar Stealer zlonamjerni softver je još jedan podsjetnik da se prijetnje u sajber bezbjednosti nastavljaju prilagođavati i da poboljšavaju svoje taktike, što pokazuje i upotreba legitimnih alata kao što je BGInfo kao maske za zlonamjerni kôd, naglašavajući genijalnost zlonamjernih aktera u izbjegavanju bezbjednosnih mjera.

Pored toga, upornost Vidar Stealer zlonamjernog softvera da uprkos naporima timova za sajber bezbjednost nastavlja svoju evoluciju, naglašava potrebu za kontinuiranim praćenjem i strategijama za lov na prijetnje. Identifikovanjem suptilnih anomalija kao što su istekli digitalni potpisi ili neobično ponašanje memorije, organizacije mogu da otkriju sofisticirane kampanje zlonamjernog softvera prije nego što izazovu značajnu štetu. Jasno se može zaključiti da taktika Vidar Stealer zlonamjernog softvera nije ograničena na pojedinačne aplikacije, već cilja na širi spektar usluga i platformi, uključujući otmicu sesije i krađu podataka u oblaku. Sve ovo dovodi do zaključka da je budnost ključna u suprotstavljanju sve složenijim prijetnjama poput Vidar Stealer zlonamjernog softvera.

Sve ponuđene informacije u ovom tekstu naglašavaju da je sajber bezbjednost stalan proces koji zahteva stalnu pažnju organizacija koje žele da se zaštite od prijetnji koje se razvijaju kao što je Vidar Stealer zlonamjerni softver. Imajući to u vidu, postaje sve jasnije da će proaktivno praćenje i dijeljenje obavještajnih podataka o prijetnjama biti ključno u suprotstavljanju sofisticiranim napadima kao što je Vidar Stealer zlonamjerni softver.

 

ZAŠTITA

Evo preporuka o tome kako da se zaštitite od Vidar Stealer, ozloglašenog zlonamjernog softvera za krađu informacija:

  1. Da bi se suprotstavili Vidar Stealer prijetnji, bezbjednosni timovi moraju usvojiti proaktivne mjere kao što je praćenje integriteta datoteka (eng. file integrity monitoring – FIM). Praćenje integriteta datoteka (FIM) uključuje praćenje promjena napravljenih u datotekama i otkrivanje bilo kakvih neovlaštenih izmjena ili brisanja. Ovo se može postići različitim alatima i tehnikama, uključujući digitalne potpise, kontrolne sume i heš vrijednosti. Primjenom praćenja integriteta datoteka (FIM), organizacije mogu brzo da identifikuju potencijalne prijetnje i preduzmu korektivne mjere pre nego što prerastu u potpune napade;
  2. Pored praćenja integriteta datoteka, bezbjednosni timovi bi takođe trebalo da sprovedu analizu ponašanja memorije kako bi otkrili anomalije u sistemskim procesima. Ovo uključuje analizu ponašanja pokrenutih aplikacija i otkrivanje bilo kakve sumnjive ili neovlaštene aktivnosti. Na taj način, organizacije mogu da identifikuju potencijalne prijetnje kao što je Vidar Stealer zlonamjerni softver prije nego što imaju priliku da izvrše zlonamjerni kôd;
  3. Da bi se zaštitili od Vidar Stealer zlonamjernog softvera, bezbjednosni timovi moraju biti oprezni u identifikaciji anomalija koje bi mogle da ukažu na prisustvo zlonamjernog softvera. Ovo uključuje neobične veličine datoteka, istekle digitalne potpise ili neočekivane izmjene upravljanja dinamičkom memorijom. Praćenjem aktivnosti sistema i rano otkrivanjem ovih anomalija, organizacije mogu preduzeti brze mjere da spriječe eskalaciju napada;
  4. Kako bi se ostalo ispred prijetnji kao što je Vidar Stealer, bezbjednosni timovi moraju da koriste okvire za obavještajnu bezbjednost kao što je MITRE ATT&CK. Ovaj okvir pruža sveobuhvatan vodič za identifikaciju taktika, tehnika i procedura koje koriste zlonamjerni akteri, omogućavajući organizacijama da predvide potencijalne napade pre nego što se dogode;
  5. Upornost Vidar Stealer zlonamjernog softvera naglašava potrebu za stalnom budnošću u nadgledanju krajnjih uređaja. Bezbjednosni timovi moraju primijeniti robusne mjere zaštite krajnjih uređaja koje uključuju otkrivanje prijetnji u realnom vremenu, analizu ponašanja i otkrivanje anomalija zasnovano na mašinskom učenju. Na taj način, organizacije mogu brzo da identifikuju potencijalne prijetnje prije nego što imaju priliku da izvrše zlonamjerni kôd;
  6. Kako se okruženje prijetnji razvija, organizacije moraju dati prioritet proaktivnom otkrivanju u odnosu na strategije reaktivnog reagovanja. Ovo uključuje primjenu naprednih bezbjednosnih mjera kao što su analitika predviđanja, vještačka inteligencija (eng. artificial intelligence – AI) i sistemi zasnovani na mašinskom učenju koji mogu da predvide potencijalne napade prije nego što se dogode;
  7. Da bi se zaštitile od sofisticiranih vektora napada Vidar Stealer zlonamjernog softvera, organizacije moraju sprovesti sveobuhvatne provjere sistema kako bi identifikovale suptilna odstupanja u ponašanju ili podešavanjima konfiguracije. Ovo uključuje praćenje mrežne aktivnosti u vezi sa eksfiltracijom podatka za prijavu, istraživanje neočekivanih izmjena datoteka i analizu obrazaca izvršavanja procesa za anomalije;
  8. Evolucija Vidar Stealer zlonamjernog softvera naglašava važnost stalne budnosti u mjerama sajber bezbjednosti. Bezbjednosni timovi moraju uvijek da budu na oprezu, kontinuirano prateći sistemske aktivnosti u potrazi za potencijalnim prijetnjama i preduzimajući brze mjere kako bi spriječili eskalaciju napada;
  9. Da bi se suprotstavili naprednim tehnikama maskiranja Vidar Stealer zlonamjernog softvera, bezbjednosni timovi bi trebalo da koriste metode unakrsne provjere kao što je upoređivanje potpisa datoteka sa poznatim legitimnim ili istraživanje neočekivanih mrežnih aktivnosti povezanih sa eksfiltracijom podataka za prijavu. Na taj način, organizacije mogu brzo da identifikuju potencijalne prijetnje i preduzmu korektivne mjere pre nego što imaju priliku da izvrše zlonamjerni kôd;
  10. Da bi efikasno odgovorile na napade Vidar Stealer zlonamjernog softvera ili druge sofisticirane prijetnje, organizacije moraju primijetiti sveobuhvatne planove odgovora na sajber prijetnju koji uključuju proaktivno identifikovanje i ublažavanje novih rizika povezanih sa naprednim prijetnjama.

Prateći ove preporuke, organizacije mogu efikasno da se zaštite od Vidar Stealer zlonamjernog softvera i drugih sofisticiranih prijetnji poput njega.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.