Vidar 是一種信息竊取惡意軟件，以惡意軟件即服務的形式運行，于 2018 年底首次在野外發(fā)現。該惡意軟件在 Windows 上運行，可以從瀏覽器和數字錢包收集各種敏感數據。此外，該惡意軟件還用作勒索軟件的下載程序。自 2018 年出現以來，Vidar 已發(fā)展成為業(yè)內最成功的信息竊取者之一。根據Check Point 的 2022 年網絡安全報告，該惡意軟件是全球第四大最常見的信息竊取惡意軟件。

它是如何工作的？

Vidar 惡意軟件通常通過電子郵件傳送，最近，在許多活動中作為 ISO 文件傳送，這是一種磁盤映像文件格式，通常被惡意軟件作者用來打包他們的惡意軟件。在 Vidar 的案例中，惡意 ISO 已嵌入到 Adob??e Photoshop 和 Microsoft Teams 等合法軟件的虛假安裝程序中，通過 Fallout 漏洞利用命中進行傳播，并作為網絡釣魚電子郵件的附件發(fā)送。

一旦惡意軟件到達受感染的機器，它就會使用幾種不同的技術來防止檢測。其中包括使用大型可執(zhí)行文件——旨在擊敗防病毒掃描程序——以及使用過期且可能已被破壞的 Avast 數字證書進行數字簽名的文件。

Vidar 是一個信息竊取者，經常使用社交媒體作為其命令和控制 (C2) 基礎設施的一部分。C2 基礎設施的 IP 地址將嵌入到 Mastodon 或 Twitter 等平臺上的用戶配置文件中。惡意軟件可以訪問此配置文件，聯系指定的 IP 地址，并下載配置文件、說明和其他惡意軟件。

威脅

Vidar 主要是一個信息竊取程序，這意味著它旨在從受感染的計算機收集各種敏感信息并將這些數據泄露給攻擊者。Vidar 從受感染的計算機、瀏覽器和數字錢包中收集的一些信息示例如下：

• 操作系統數據
• 賬戶憑證
• 信用卡資料
• 瀏覽器歷史

除了收集敏感數據，Vidar 還可以用作其他惡意軟件的下載器。C2 服務器可以指定一個鏈接，惡意軟件會將文件下載到該鏈接，然后執(zhí)行它。這使得 Vidar 運營商可以將受感染機器的訪問權限出售給部署勒索軟件的其他網絡犯罪分子。

如何防范 Vidar 惡意軟件

Vidar 是一種信息竊取惡意軟件，也可用于傳播其他形式的惡意軟件。組織可以防止這種惡意軟件威脅的一些方法包括：

• 員工培訓： Vidar 通常通過網絡釣魚電子郵件或合法軟件的虛假下載進行分發(fā)，而這些軟件實際上是在傳播惡意軟件。培訓員工識別和正確響應惡意附件并避免合法軟件的破解副本可以減少 Vidar 感染的威脅。
• 電子郵件安全：許多 Vidar 活動將惡意 ISO 文件作為網絡釣魚電子郵件的附件發(fā)送。檢查電子郵件附件是否包含惡意內容的電子郵件安全解決方案可以在 Vidar 惡意軟件到達用戶收件箱之前識別并阻止它。
• 網絡安全： Vidar 惡意軟件可以作為惡意下載的一部分進行分發(fā)，其中惡意軟件偽裝成合法軟件的免費版本。Web 安全解決方案可以在惡意軟件到達用戶計算機之前識別并阻止惡意下載和對危險站點的訪問。
• Endpoint Security： Vidar 是一種惡意軟件，它還可以下載并執(zhí)行其他惡意軟件。端點安全解決方案有助于阻止惡意下載并清除計算機上的感染。
• 強密碼： Vidar 從不同位置竊取憑證，但其中一些數據可能是密碼哈希而不是明文密碼。使用強密碼、長密碼和隨機密碼會使攻擊者更難破解。
• 多因素身份驗證 (MFA)：作為信息竊取者，用戶憑據是 Vidar 惡意軟件的主要目標。盡可能部署 MFA 會使攻擊者更難使用他們竊取的憑據。

如何刪除 Vidar 惡意軟件？

Vidar 通常在其惡意 ISO 文件中的文件被直接由用戶或惡意安裝程序執(zhí)行后安裝在計算機上。如果計算機上安裝了端點安全解決方案，它應該能夠通過從系統中刪除惡意軟件來識別和修復感染。