Siirry pääsisältöön

Vidar stealer: Syvällisempi katsaus

Mies näkee Vidar-haittaohjelmavaroituksen kannettavassa tietokoneessaan.

Haitallisilla toimijoilla on monia työkaluja käytössään tietojen varastamiseksi pahaa-aavistamattomilta kohteilta. Viime vuosina Vidar Stealer on tullut yhä yleisemmäksi. Tämä haittaohjelma on erittäin tehokas tartuttamaan laitteita vaivihkaa varastaakseen monenlaisia tietoja ja välittämään ne takaisin hyökkääjälle.

Mutta mikä Vidar Stealer on ja miten hyökkäykset tapahtuvat?

Mikä Vidar Stealer on?

Vidar Stealer -ohjelmat − joita kutsutaan joskus Vidar-vakoiluohjelmiksi − ovat tietyn tyyppisiä haittaohjelmia, joiden tarkoituksena on hyökätä laitteisiin ja varastaa henkilökohtaisia tietoja ja tietoja laitteen järjestelmässä olevista kryptovaluuttalompakoista. Vidaria käytetään kuitenkin joskus myös lunnasohjelmien levittämiseen laitteisiin.

Vaikka Vidar-bottiverkot ovat olleet olemassa vuodesta 2018, niiden tarkka alkuperä on ollut epäselvä. Marraskuussa 2023 antamassaan haastattelussa tekijät kuitenkin vahvistivat, että haittaohjelma on kehittynyt Arkei-troijalaisesta. Se toimii haittaohjelmapalveluna, ja sen voi ostaa suoraan kehittäjän verkkosivustolta pimeästä verkosta.

Vidar-haittaohjelma on erityisen tunnettu tavastaan hyödyntää komento- ja valvontainfrastruktuuria (tai C2-viestintää). Tämä tapahtuu enimmäkseen sosiaalisen median verkostoissa, kuten Telegramissa ja Mastodonissa, ja viime aikoina myös sosiaalisessa pelialustassa Steamissä.

Miten Vidar Stealer toimii?

Vidar käyttää yleensä sosiaalista mediaa C2-infrastruktuurissaan ja osana prosessiaan. Usein Vidar-haittaohjelmaan on upotettu tietyn sosiaalisen verkoston profiilin osoite, ja sen määritelmissä on kyseinen C2-IP-osoite. Näin vakoiluohjelma voi ottaa profiilin hallintaansa, mikä sisältää yhteydenpidon IP-osoitteeseen, tiedostojen ja ohjeiden lataamisen ja jopa uusien haittaohjelmien asentamisen.

Vidar-bottiverkko on kuitenkin pohjimmiltaan tietojen varastelija, joten sen ensisijainen tehtävä on kerätä arkaluonteisia tietoja tartunnan saaneesta laitteesta ja lähettää nämä tiedot hyökkääjälle. Vidar voi varastaa monenlaisia tietoja, kuten:

  • käyttöjärjestelmien tiedot
  • kirjautumistiedot
  • luottokortin tai pankkitilin tiedot
  • selainhistoria
  • selainevästeet
  • laitteelle asennetut ohjelmistot
  • ladatut tiedostot
  • kryptovaluuttalompakot − erityisesti Exodus, Ethereum, MultiDoge, Atomic, JAXX ja ElectronCash
  • näyttökuvat
  • sähköpostit
  • FTP:n kirjautumistiedot.

Joissakin tapauksissa, kun Vidaria käytetään nimenomaan haittaohjelman asentamiseen laitteeseen, se käyttää C2-infrastruktuuriaan määrittääkseen linkin, josta saastunut tiedosto ladataan ja suorittaa sen sitten. Tämä antaa hyökkääjälle pääsyn laitteeseen, ja hän voi käyttää sitä omiin tarkoituksiinsa tai myydä sen pimeässä verkossa muille verkkorikollisille.

Kun Vidar on ladattu koneelle, se käyttää useita menetelmiä pysyäkseen huomaamattomana. Usein Vidar Stealer käyttää suurta suoritettavaa tiedostoa välttääkseen virustorjuntaohjelmien havaitsemisen. Tarkoissa analyyseissä asiantuntijat ovat havainneet, että Vidar-näytteet sisältävät nollatavuja tiedoston lopussa (tai nollia .exe-tiedoston lopussa), mikä kasvattaa tiedoston kokoa keinotekoisesti. Tiedoston koon vuoksi se ylittää usein haittaohjelmien torjuntaohjelmistojen tiedostorajat, jolloin haittaohjelmien torjuntaohjelmat päättävät jättää tiedoston analysoinnin väliin. Lisäksi Vidar-tiedostot käyttävät usein merkkijonokoodausta ja salausta, mikä vaikeuttaa suojausohjelmien suorittamaa analysointia. Se käyttää myös tiedostoja, jotka on todennettu vanhentuneilla digitaalisilla varmenteilla.

Sen jälkeen kun Vidar-troijalainen on saastuttanut kyseisen laitteen ja varastanut mahdollisimman paljon tietoja, se pakkaa kaikki tiedot ZIP-tiedostoon ja lähettää sen komentopalvelimelle. Tämän jälkeen haittaohjelma tuhoaa itsensä ja poistaa kaikki todisteet olemassaolostaan laitteen järjestelmästä. Tämän vuoksi Vidar-haittaohjelmahyökkäysten tutkiminen voi olla hyvin vaikeaa.

Miten Vidar leviää?

Vidar-haittaohjelma leviää lähes aina roskapostin kautta. Kohde saa yleensä ei-toivotun − mutta harmittoman näköisen − sähköpostiviestin, joka muistuttaa verkko-ostoksen laskua tai vahvistusta tilauksen uusimisesta. Sähköpostissa on yleensä liitetiedosto, joka vastaanottajan tulee avata saadakseen lisätietoja. Vidar-haittaohjelma on kuitenkin upotettu liitetiedostoon, ja kun vastaanottaja avaa sen, haittaohjelma aktivoituu.

Yleisimmin liitetiedosto on Microsoft Office -asiakirja, jossa käytetään makroskriptiä. Näin ollen, kun asiakirja on avattu, käyttäjää pyydetään ottamaan makrot käyttöön. Kun he tekevät tämän, laite muodostaa yhteyden haittaohjelmapalvelimeen ja mahdollistaa Vidar Stealerin lataamisen. Vähentääkseen Vidar-haittaohjelman hyökkäyksiä Microsoft muutti tapaa, jolla sen makrot suoritetaan.

Tämä tarkoitti kuitenkin sitä, että verkkorikolliset yksinkertaisesti löysivät erilaisia tapoja levittää Vidar-troijalaista. Niitä ovat esimerkiksi seuraavat:

  • ISO-liitetiedostot: tällaisia ovat esimerkiksi saastunut Microsoft Compiled HTML Help (CHM) -tiedosto ja suoritettava ”app.exe”-tiedosto, joka käynnistää haittaohjelman, kun liite avataan.
  • .zip-arkistot: eräässä tapauksessa hyökkääjät tekeytyivät muotimerkki H&M:ksi ja lähettivät tietojenkalastelusähköposteja, jotka ohjasivat vastaanottajat Google Drive -kansioon, josta heidän piti ladata .zip-arkisto päästäkseen käsiksi sopimukseen ja maksutietoihin. Sieltä käsin tiedosto sitten käynnisti Vidar Stealer -hyökkäyksen.
  • Vilpilliset asennusohjelmat: hyökkääjät voivat upottaa Vidar-vakoiluohjelman vilpilliseen asennusohjelmaan lailliselle ohjelmistolle, jonka käyttäjät voivat ladata − kuten Adobe Photoshop tai Zoom − ja toimittaa sen vastaanottajille roskapostin liitteenä.
  • Google-hakumainokset: viime aikoina yksi yleisimmistä tavoista levittää Vidaria on Google-hakumainokset, joiden skriptiin haittaohjelma on upotettu. Hyökkääjä luo Google-mainoksia, jotka jäljittelevät tarkasti laillisen ohjelmiston julkaisijan mainoksia, ja kun pahaa aavistamattomat käyttäjät lataavat tämän ohjelmiston ja suorittavat sen, haittaohjelma suoritetaan ja tartuttaa heidän laitteensa.
  • Kiristysohjelmien yhdistelmät: joissakin tapauksissa Vidar-bottiverkko on toteuttanut hyökkäyksiä yhdessä erilaisten kiristysohjelmien, kuten STOP/Djvu ja GandCrab, tai haittaohjelmien, kuten PrivateLoader ja Smoke, kanssa. Näissä erittäin haitallisissa hyökkäyksissä näitä kahta haittaohjelmaa on levitetty yhdessä, mikä johtaa laajempiin tartuntoihin, tietojen varastamiseen − sekä ongelmiin käyttäjälle, jonka laite on saanut tartunnan.

Miten suojautua Vidar Stealerilta: viisi tärkeää vinkkiä

Vidar Stealer on vaarallinen, koska se voi varastaa käyttäjän tietoja ja järjestelmätietoja, mutta sitä voidaan käyttää myös useampien haittaohjelmien levittämiseen. Tämän vuoksi yksityishenkilöiden ja organisaatioiden on ryhdyttävä toimiin Vidar-troijalaisen hyökkäysten välttämiseksi. Seuraavassa on viisi ennaltaehkäisevää toimenpidettä, jotka voivat olla hyödyllisiä:

  1. Käytä virustorjunta- ja verkkosuojausohjelmistoa, joka valvoo tällaisia verkkouhkia ja neutralisoi ne.
  2. Käytä sähköpostin tietoturvaratkaisuja kaikkien saapuvien sähköpostiviestien tarkistamiseen ja mahdollisten epäilyttävien viestien estämiseen.
  3. Muista salasanoihin liittyvät parhaat käytännöt, kuten salasanojen hallintatoiminnon käyttö, monimutkaisten salasanojen luominen ja salasanojen säännöllinen vaihtaminen.
  4. Pidä kaikki ohjelmistot ja käyttöjärjestelmät ajan tasalla varmistaaksesi, että uusimmat tietoturvakorjaukset on otettu käyttöön.
  5. Suorita säännöllisesti tietokoneiden täydelliset järjestelmätarkistukset, jotta voit tarkistaa, onko Vidar-vakoiluohjelmia tai muita tartuntoja jäänyt havaitsematta ja poista ne.

Näiden olisi oltava osa laajempaa strategiaa mahdollisten tietoturvaloukkausten ja haitallisen toiminnan torjumiseksi, mukaan lukien virtuaalisen yksityisverkon (VPN) käyttö laitteen IP-osoitteen peittämiseksi ja kaiken verkkotoiminnan salaamiseksi.

Vidar Stealer: jatkuva uhka

Vidar-haittaohjelma on erittäin tekninen vakoiluohjelma. Vaikka nämä hyökkäykset alkavat usein roskapostiviestillä, mainoksilla, murretuilla ohjelmistoilla tai muilla keinoilla, ne ovat usein häijympiä, koska Vidar voi varastaa suuren tietomäärän. Näin hyökkääjä saa valtavan määrän tietoa, jota hän voi käyttää uusien rikosten tekemiseen tai myydä pimeässä verkossa. Pitämällä kuitenkin mielessä internetin ja sähköpostin turvallisuuden parhaat peruskäytännöt on mahdollista minimoida Vidarin uhka ja näiden hyökkäysten onnistuminen.

Hanki Kaspersky Premium + 1 VUODEN MAKSUTON Kaspersky Safe Kids. Kaspersky Premium sai viisi AV-TEST-palkintoa parhaasta suojauksesta, parhaasta suorituskyvystä, nopeimmasta VPN:stä, hyväksytyistä lapsilukoista Windowsissa ja parhaista lapsilukoista Androidissa.

Aiheeseen liittyviä artikkeleita ja linkkejä:

Aiheeseen liittyvät tuotteet ja palvelut:

Vidar stealer: Syvällisempi katsaus

Vidar Stealer on tekninen haittaohjelma, jota käytetään laitteiden tartuttamiseen ja tietojen varastamiseen. Kerromme, miten se toimii ja miten voit ryhtyä ennaltaehkäiseviin toimenpiteisiin.
Kaspersky logo

Aiheeseen liittyviä artikkeleita