Chuyển đến nội dung chính

Vidar stealer: Phân tích sâu hơn

Một người đàn ông nhìn thấy cảnh báo của phần mềm độc hại Vidar trên máy tính xách tay của mình.

Những tác nhân độc hại có nhiều công cụ trong kho bộ công cụ của chúng để đánh cắp thông tin từ những mục tiêu không nghi ngờ. Những năm gần đây, Vidar stealer ngày càng trở nên phổ biến. Phần mềm độc hại đặc biệt này có hiệu quả cao trong việc lây lén lút nhiễm các thiết bị để đánh cắp nhiều loại thông tin và chuyển lại cho kẻ tấn công.

Nhưng chính xác thì Vidar stealer là gì và những cuộc tấn công này diễn ra như thế nào?

Vidar stealer là gì?

Vidar stealer - đôi khi được gọi là phần mềm gián điệp Vidar - là những loại phần mềm độc hại cụ thể, có mục đích tấn công các thiết bị và đánh cắp thông tin cá nhân cũng như thông tin chi tiết về ví tiền điện tử trong hệ thống của thiết bị. Tuy nhiên, Vidar đôi khi cũng được sử dụng như một phương thức đưa phần mềm tống tiền vào các thiết bị.

Mặc dù các botnet Vidar đã tồn tại từ năm 2018, nhưng nguồn gốc chính xác của chúng vẫn chưa rõ ràng. Tuy nhiên, trong một cuộc phỏng vấn vào tháng 11 năm 2023, các tác giả xác nhận rằng phần mềm độc hại này được phát triển kế thừa từ trojan Arkei. Nó hoạt động như một phần mềm độc hại được cung cấp như dịch vụ và có thể được mua trực tiếp từ trang web của nhà phát triển trên web tối.

Phần mềm độc hại Vidar đặc biệt nổi tiếng với cách nó sử dụng Cơ sở hạ tầng Ra lệnh và Kiểm soát (hay còn gọi là Giao tiếp C2). Điều này xảy ra chủ yếu thông qua các mạng xã hội như Telegram và Mastodon, và gần đây hơn là trên nền tảng mạng xã hội chơi game Steam.

Vidar stealer hoạt động như thế nào?

Vidar thường sử dụng mạng xã hội làm cơ sở hạ tầng C2 và là một phần của quy trình của công cụ này. Thông thường, địa chỉ của một hồ sơ mạng xã hội cụ thể sẽ được nhúng trong phần mềm độc hại Vidar và phần mềm này sẽ có địa chỉ IP C2 liên quan trong thông số kỹ thuật của nó. Điều này cho phép phần mềm gián điệp kiểm soát hồ sơ, bao gồm cả việc liên lạc với địa chỉ IP, tải xuống các tập tin và chỉ thị, thậm chí cài đặt thêm phần mềm độc hại.

Tuy nhiên, vì phần cốt lõi của mạng botnet Vidar là một công cụ đánh cắp thông tin nên chức năng chính của nó là thu thập thông tin nhạy cảm từ một thiết bị bị nhiễm và gửi dữ liệu này cho kẻ tấn công. Có nhiều loại thông tin khác nhau mà Vidar có thể đánh cắp, bao gồm:

  • Dữ liệu hệ điều hành
  • Thông tin đăng nhập
  • Thông tin thẻ tín dụng hoặc ngân hàng
  • Lịch sử trình duyệt
  • Cookie trình duyệt
  • Phần mềm được cài đặt trên thiết bị
  • Tập đã tải xuống
  • Ví tiền điện tử - đặc biệt là Exodus, Ethereum, MultiDoge, Atomic, JAXX và ElectronCash
  • Ảnh chụp màn hình
  • Email
  • Thông tin đăng nhập FTP

Trong một số trường hợp, khi Vidar được sử dụng đặc biệt để cài đặt phần mềm độc hại trên thiết bị, nó sẽ sử dụng cơ sở hạ tầng C2 để chỉ định liên kết tải xuống tập tin bị nhiễm mã độc rồi thực thi tập tin đó. Điều này cho phép kẻ tấn công truy cập thiết bị và chúng có thể sử dụng thiết bị này cho mục đích riêng của mình hoặc bán thiết bị này trên web tối cho tội phạm mạng khác.

Sau khi được tải xuống máy, nó sử dụng một số phương pháp để tránh bị phát hiện. Thông thường, Vidar stealer sẽ sử dụng tập tin thực thi lớn để tránh bị công cụ quét chống virus phát hiện. Khi phân tích kỹ hơn, các chuyên gia đã phát hiện ra rằng các mẫu Vidar chứa byte rỗng ở cuối tập tin (hoặc chuỗi số 0 ở cuối tập tin .exe), điều này làm tăng giả kích thước tập tin. Vì kích thước tập tin quá lớn nên nó thường vượt quá giới hạn tập tin của phần mềm chống phần mềm độc hại, sau đó chọn bỏ qua việc phân tích tập tin. Ngoài ra, các tập tin Vidar thường sử dụng mã hóa chuỗi và mã hóa để khiến phần mềm bảo vệ gặp khó khăn hơn trong việc phân tích. Nó cũng sử dụng các tập tin đã được xác thực bằng chứng chỉ kỹ thuật số đã hết hạn.

Sau khi lây nhiễm vào thiết bị mục tiêu và đánh cắp nhiều thông tin nhất có thể, trojan Vidar sẽ gói toàn bộ dữ liệu vào một tập tin ZIP và gửi nó đến máy chủ ra lệnh. Sau đó, phần mềm độc hại sẽ tự hủy và xóa mọi bằng chứng về sự tồn tại của nó trong hệ thống của thiết bị. Do đó, việc điều tra các cuộc tấn công bằng phần mềm độc hại Vidar có thể rất khó khăn.

Vidar lây lan như thế nào?

Hầu hết phần mềm độc hại Vidar lây lan qua email rác. Mục tiêu thường nhận được một email không mong muốn - nhưng trông có vẻ vô hại - giống như hóa đơn mua hàng trực tuyến hoặc xác nhận gia hạn gói đăng ký. Email thường sẽ có tập tin đính kèm mà nạn nhân được hướng dẫn mở để biết thêm thông tin. Tuy nhiên, phần mềm độc hại Vidar được nhúng trong tập tin đính kèm và khi nạn nhân mở nó, phần mềm độc hại sẽ được triển khai.

Phổ biến nhất, tập tin đính kèm là tài liệu Microsoft Office sử dụng tập lệnh macro. Do đó, khi tài liệu được mở, người dùng sẽ được yêu cầu kích hoạt thực thi macro. Khi họ thực hiện việc này, thiết bị sẽ kết nối với máy chủ phần mềm độc hại và cho phép tải xuống Vidar stealer. Để giảm thiểu các cuộc tấn công của phần mềm độc hại Vidar, Microsoft đã thay đổi cách thức hoạt động thực thi macro của mình.

Tuy nhiên, điều này đồng nghĩa với việc tội phạm mạng chỉ việc tìm ra những cách khác nhau để phát tán trojan Vidar. Chúng bao gồm:

  • Tập tin ISO đính kèm: Phần mềm độc hại Vidar cũng có thể được gửi dưới dạng tập tin ISO đính kèm qua email, như tập tin tập tin Microsoft Compiled HTML Help (CHM) đã bị nhiễm mã độc và tập tin "app.exe" có thể thực thi được, tập tin này sẽ khởi chạy phần mềm độc hại khi tập tin đính kèm được mở
  • Tập tin nén .zip: trong một trường hợp cụ thể, những kẻ tấn công nhái thương hiệu thời trang H&M để gửi email lừa đảo hướng người nhận đến thư mục Google Drive, từ đó họ sẽ cần tải xuống tập tin nén .zip để truy cập hợp đồng và thông tin thanh toán. Sau đó, tập tin sẽ khởi động cuộc tấn công Vidar stealer từ đó.
  • Trình cài đặt lừa đảo: kẻ tấn công có thể nhúng phần mềm gián điệp Vidar vào trình cài đặt lừa đảo cho phần mềm hợp pháp mà người dùng có thể tải xuống - chẳng hạn như Adobe Photoshop hoặc Zoom - và gửi nó đến mục tiêu dưới dạng tập tin đính kèm trong email rác
  • Quảng cáo Tìm kiếm trên Google: gần đây hơn, một trong những cách phổ biến nhất để phát tán Vidar là thông qua các quảng cáo trên Tìm kiếm trên Google có nhúng phần mềm độc hại trong tập lệnh của chúng. Kẻ tấn công tạo Quảng cáo Google bắt chước gần giống quảng cáo của một nhà xuất bản phần mềm hợp pháp và khi người dùng không nghi ngờ tải xuống phần mềm này và chạy nó, phần mềm độc hại sẽ được thực thi và lây nhiễm mã độc vào thiết bị của họ.
  • Liên kết phần mềm tống tiền: trong một số trường hợp, botnet Vidar đã thực hiện các cuộc tấn công liên kết với nhiều phần mềm độc hại khác nhau, như STOP/Djvu và GandCrab hoặc phần mềm độc hại như PrivateLoader và Smoke. Trong các cuộc tấn công có độ độc hại cao này, hai phần mềm độc hại đã được phát tán cùng nhau, dẫn đến lây nhiễm trên diện rộng hơn, đánh cắp dữ liệu - và gây ra sự cố cho người dùng có thiết bị bị nhiễm.

Cách bảo vệ trước Vidar stealer: 5 lời khuyên thiết yếu

Vidar stealer đại diện cho không chỉ vì nó có thể đánh cắp dữ liệu người dùng và thông tin hệ thống mà còn có thể được sử dụng để phát tán nhiều loại phần mềm độc hại hơn. Vì điều này, các cá nhân và tổ chức cần thực hiện các bước để tránh nguy cơ bị tấn công bởi trojan Vidar. Dưới đây là năm biện pháp phòng ngừa có thể hữu ích:

  1. Sử dụng phần mềm chống virus và bảo vệ web để theo dõi các loại mối đe dọa mạng này và vô hiệu hóa chúng.
  2. Sử dụng các giải pháp bảo mật email để quét tất cả các email đến và chặn các email đáng ngờ.
  3. Ghi nhớ các kinh nghiệm hiệu quả về sử dụng mật khẩu, bao gồm cả việc sử dụng trình quản lý mật khẩu, tạo mật khẩu phức tạp và thường xuyên thay đổi chúng.
  4. Luôn cập nhật tất cả phần mềm và hệ điều hành để đảm bảo các bản vá bảo mật mới nhất được triển khai.
  5. Thường xuyên quét toàn bộ hệ thống trên máy tính để kiểm tra phần mềm gián điệp Vidar hoặc các phần mềm lây nhiễm khác chưa bị phát hiện và loại bỏ chúng.

Những bước này là một phần của chiến lược lớn hơn để đối phó với các hoạt động xâm phạm bảo mật tiềm ẩn và hoạt động độc hại, bao gồm việc sử dụng mạng riêng ảo (VPN) để ẩn địa chỉ IP của thiết bị và mã hóa mọi hoạt động trực tuyến.

Vidar Stealer: Mối đe dọa dai dẳng

Phần mềm độc hại Vidar là phần mềm gián điệp có tính kỹ thuật cao. Mặc dù các cuộc tấn công này thường bắt đầu bằng email rác, quảng cáo, phần mềm bẻ khóa hoặc các phương tiện khác, nhưng chúng thường bất chính hơn vì lượng thông tin khổng lồ mà Vidar có thể đánh cắp. Điều này mang lại cho kẻ tấn công một lượng thông tin khổng lồ để thực hiện các tội ác tiếp theo hoặc bán trên web tối. Tuy nhiên, ghi nhớ các kinh nghiệm hay nhất về an toàn email và internet cơ bản có thể giảm thiểu mối đe dọa từ Vidar và sự thành công của các cuộc tấn công này.

Nhận Kaspersky Premium + 1 NĂM Kaspersky Safe Kids MIỄN PHÍ. Kaspersky Premium đã nhận được năm giải thưởng AV-TEST cho khả năng bảo vệ tốt nhất, hiệu suất tốt nhất, VPN nhanh nhất, tính năng kiểm soát của phụ huynh được chấp thuận cho Windows và xếp hạng tốt nhất cho tính năng kiểm soát của phụ huynh trên Android.

Các bài viết và đường liên kết liên quan:

Các sản phẩm và dịch vụ liên quan:

Vidar stealer: Phân tích sâu hơn

Vidar stealer là một phần mềm độc hại kỹ thuật, được sử dụng để lây nhiễm vào các thiết bị và đánh cắp thông tin. Đây là cách thức hoạt động của phần mềm độc hại này và cách thực hiện các biện pháp phòng ngừa.
Kaspersky logo

Các bài viết liên quan