Stealer Vidar: approfondimento

Gli utenti malintenzionati hanno a disposizione numerosi strumenti per sottrarre informazioni a ignari bersagli. Negli ultimi anni, lo stealer Vidar è diventato sempre più comune. Questo particolare malware è estremamente efficace nell'infettare furtivamente i dispositivi per sottrarre un'ampia gamma di informazioni e trasmetterle all'autore dell'attacco.

Ma che cos'è esattamente lo stealer Vidar e come funzionano questi attacchi?

Che cos'è uno stealer Vidar?

Gli stealer Vidar, a volte chiamati spyware Vidar, sono specifici tipi di malware che mirano ad attaccare i dispositivi e sottrarre informazioni personali e dettagli dei portafogli di criptovaluta all'interno del sistema del dispositivo. Tuttavia, Vidar viene talvolta utilizzato anche come metodo per distribuire ransomware ai dispositivi.

Sebbene le botnet Vidar esistano dal 2018, le loro origini esatte non sono chiare. In un'intervista a novembre 2023, tuttavia, gli autori hanno confermato che il malware è un'evoluzione del trojan Arkei. Funziona come un malware-as-a-service e può essere acquistato direttamente dal sito Web dello sviluppatore sul Dark Web.

Il malware Vidar è particolarmente noto per il modo in cui sfrutta l'infrastruttura di comando e controllo (o comunicazione C2). Ciò avviene principalmente attraverso i social network come Telegram e Mastodon e, più di recente, sulla piattaforma di social gaming Steam.

Come funziona lo stealer Vidar?

Vidar utilizza solitamente i social media per la sua infrastruttura C2 e come parte dei suoi processi. Spesso l'indirizzo di uno specifico profilo di un social network sarà incorporato nel malware Vidar e questo avrà l'indirizzo IP C2 pertinente nelle sue specifiche. Ciò consente allo spyware di assumere il controllo del profilo, riuscendo a comunicare con l'indirizzo IP, a scaricare file e istruzioni e persino a installare altro malware.

Tuttavia, poiché la botnet Vidar è, fondamentalmente, un infostealer, la sua funzione primaria è quella di raccogliere informazioni sensibili da un dispositivo infetto e inviare tali dati all'autore dell'attacco. Esistono molti tipi diversi di informazioni che Vidar può sottrarre, tra cui:

• Dati del sistema operativo
• Credenziali di accesso
• Informazioni bancarie e delle carte di credito
• Cronologia del browser
• Cookie del browser
• Software installato nel dispositivo
• File scaricati
• Portafogli di criptovaluta, in particolare Exodus, Ethereum, MultiDoge, Atomic, JAXX e ElectronCash
• Screenshot
• E-mail
• Credenziali FTP

In alcuni casi, quando Vidar viene utilizzato specificatamente per installare malware su un dispositivo, sfrutta l'infrastruttura C2 per specificare un collegamento da cui scaricare il file infetto e poi eseguirlo. In questo modo l'autore dell'attacco può accedere al dispositivo e utilizzarlo per i propri scopi oppure venderlo nel Dark Web ad altri cybercriminali.

Una volta scaricato su un computer, utilizza diversi metodi per passare inosservato. Spesso gli stealer di Vidar utilizzano un file eseguibile di grandi dimensioni per evitare di essere rilevati dagli scanner anti-virus. Dopo analisi approfondite, gli esperti hanno scoperto che i campioni Vidar contengono byte nulli alla fine del file (o zeri alla fine di un file .exe), il che aumenta artificialmente le dimensioni del file. Dal momento che le dimensioni del file sono così grandi, spesso superano i limiti dei software anti-malware, che quindi scelgono di saltare l'analisi del file. Inoltre, i file Vidar utilizzano spesso la codifica e il criptaggio delle stringhe per renderli più difficili da analizzare per i software di protezione. Utilizza anche file autenticati con certificati digitali scaduti.

Dopo aver infettato il dispositivo in questione e rubato quante più informazioni possibile, il trojan Vidar comprime tutti i dati in un file ZIP e lo invia al server di comando. Il malware si autodistrugge quindi ed elimina ogni prova della sua esistenza nel sistema del dispositivo. Per questo motivo, indagare sugli attacchi malware Vidar può risultare molto difficile.

Come si diffonde Vidar?

Il malware Vidar si diffonde quasi sempre tramite e-mail di spam. In genere, la vittima riceve un'e-mail non richiesta, ma apparentemente innocua, che assomiglia a una fattura per un acquisto online o alla conferma del rinnovo di un abbonamento. Solitamente l'e-mail contiene un allegato che il destinatario è invitato ad aprire per ottenere maggiori informazioni. Tuttavia, il malware Vidar è incorporato nell'allegato e quando la vittima lo apre, il malware viene distribuito.

Nella maggior parte dei casi l'allegato è un documento di Microsoft Office che utilizza uno script macro. Pertanto, una volta aperto il documento, all'utente viene chiesto di abilitare l'esecuzione delle macro. Una volta fatto questo, il dispositivo si connette al server del malware e abilita il download dello stealer Vidar. Per mitigare gli attacchi del malware Vidar, Microsoft ha modificato il modo in cui funziona l'esecuzione delle macro.

Tuttavia, questo significa che i cybercriminali hanno semplicemente trovato modi diversi per diffondere il trojan Vidar. tra cui i seguenti:

• File ISO allegati: il malware Vidar può anche essere inviato come file ISO allegato tramite e-mail, come un file Microsoft Compiled HTML Help (CHM) infetto e un file eseguibile "app.exe", che avvia il malware quando l'allegato viene aperto
• Archivi .zip in un caso particolare, gli autori degli attacchi si sono spacciati per il marchio di moda H&M per inviare e-mail di phishing che indirizzavano i destinatari a una cartella di Google Drive, dalla quale avrebbero dovuto scaricare un archivio .zip per accedere a un contratto e alle informazioni di pagamento. Da lì il file avrebbe poi lanciato l'attacco stealer Vidar.
• Programmi di installazione fraudolenti: gli autori degli attacchi possono incorporare lo spyware Vidar in un programma di installazione fraudolento per software legittimo che gli utenti possono scaricare, come Adobe Photoshop o Zoom, e consegnarlo ai bersagli come allegato in un'e-mail di spam
• Annunci Google Search: più di recente, uno dei modi più comuni per far circolare Vidar è tramite gli annunci di Google Search che hanno il malware incorporato nel loro script. L'autore dell'attacco crea annunci Google che imitano da vicino quelli di un legittimo produttore di software e, quando gli utenti ignari scaricano questo software e lo eseguono, il malware viene eseguito e infetta il loro dispositivo.
• Associazioni ransomware: in alcuni casi, la botnet Vidar ha eseguito attacchi insieme a vari ransomware, come STOP/Djvu e GandCrab, o malware come PrivateLoader e Smoke. In questi attacchi altamente dannosi, i due malware si sono diffusi contemporaneamente, provocando infezioni più estese, furto di dati e problemi per l'utente il cui dispositivo è stato infettato.

Come proteggersi dallo stealer Vidar: 5 consigli essenziali

Lo stealer Vidar rappresenta un pericolo perché non solo può rubare dati degli utenti e informazioni di sistema, ma può anche essere utilizzato per diffondere altri tipi di malware. Per questo motivo, individui e organizzazioni devono adottare misure per evitare il rischio di attacchi da parte del trojan Vidar. Ecco cinque misure preventive che possono rivelarsi utili:

1. Usa software anti-virus e per la protezione Web che monitorino questo tipo di cyberminacce e le neutralizzino.
2. Usa soluzioni di sicurezza della posta elettronica per analizzare tutte le e-mail in arrivo e bloccare i messaggi potenzialmente sospetti.
3. Ricordati le best practice in materia di password, tra cui l'utilizzo di uno strumento di gestione delle password, la creazione di password complesse e la loro modifica regolare.
4. Mantieni aggiornati tutti i software e i sistemi operativi per garantire che vengano implementate le patch di sicurezza più recenti.
5. Esegui regolarmente scansioni complete del sistema sui computer per verificare la presenza di spyware Vidar non rilevati o altre infezioni e rimuoverli.

Queste misure dovrebbero far parte di una strategia più ampia per combattere potenziali violazioni della sicurezza e attività dannose, tra cui l’utilizzo di una VPN per mascherare l’indirizzo IP del dispositivo e criptare tutte le attività online.

Vidar Stealer: una minaccia persistente

Il malware Vidar è uno spyware altamente tecnico. Sebbene questi attacchi spesso inizino con e-mail di spam, pubblicità, software craccato o altri mezzi, sono spesso più nefasti a causa dell'enorme quantità di informazioni che Vidar può sottrarre. Ciò fornisce all'autore dell'attacco un'enorme quantità di informazioni utili per commettere ulteriori crimini o da vendere nel Dark Web. Tuttavia, tenendo a mente le migliori pratiche di sicurezza di base in Internet e nella posta elettronica, è possibile ridurre al minimo la minaccia di Vidar e il successo di questi attacchi.

Ottieni Kaspersky Premium + 1 ANNO GRATUITO di Kaspersky Safe Kids. A Kaspersky Premium sono stati assegnati cinque riconoscimenti AV-TEST per la migliore protezione, le migliori prestazioni, la VPN più veloce, il Parental Control approvato per Windows e la migliore valutazione per il Parental Control per Android.

Articoli e collegamenti correlati:

• Come sbarazzarsi del malware?
• Protezione da ransomware: come garantire la sicurezza dei tuoi dati nel 2024
• Eliminare il ransomware: Decriptaggio dei dati - come neutralizzare il virus
• Rilevamento di malware ed exploit

Prodotti e servizi correlati:

• Kaspersky Standard
• Kaspersky Premium
• Kaspersky Endpoint Security Cloud
• Kaspersky VPN Secure Connection