Vidar kötü amaçlı yazılımı, belirli veri türlerini çalmayı amaçlayan hırsızlar arasında yer alır. Tek başına bir kötü amaçlı yazılım olarak da dağıtılabilir ve farklı diğer virüslerle birlikte gelebilir. Örneğin, genellikle kişisel verileri toplamak için ek bir fırsat sağlayan Djvu fidye yazılımı ile birlikte gelir. Vidar hırsızının analizini yapalım ve ne kadar tehlikeli olduğunu anlayalım.
Vidar Stealer nedir?
Vidar Stealer, 2018 yılı civarında öncüsü Arkei Stealer’dan ayrılan kötü niyetli bir uygulamadır. Her bir hırsızın temel özelliği, sisteme gizlice sızmak ve önceden belirlenmiş veri türlerini almak yeteneğidir. Bu, çoğu zaman ana yükü tamamlayan yardımcı kötü amaçlı yazılım olarak işlev gördükleri siber saldırılarda görülmektedir.
Vidar, bankacılık ve kripto cüzdan bilgileri yanı sıra diğer giriş kimlik bilgileri, IP adresleri ve tarama geçmişlerini çalmayı hedeflemektedir. Verileri etkili bir şekilde Chrome, Opera, Chromium tabanlı tarayıcılar ve Firefox’dan kazanabilir. Bu onu oldukça çok yönlü yapar, çünkü sistemde bankacılık verileri veya kripto cüzdanları kullanılmasa bile, tüm diğer verileri almak mümkündür, ve tam tersi. Vidar, web yöneticileri ve uzaktan çalışanlar tarafından sıklıkla kullanılan FTP/WinSCP bağlantı kimlik bilgilerine odaklanır. Ek olarak, saldırıya uğrayan sistemde posta istemcilerinden farklı veriler alabilir, tabii ki kullanılıyorsa. Ancak, bu özellikler benzersiz değildir – bu kötü amaçlı yazılım türündeki farklı örnekler de esnek davranabilir.
Vidar Malware teknik analizi
Después de ser inyectado y lanzado en el sistema objetivo, Vidar stealer intenta conectarse al canal en la red social Mastodon. Esta red pretende ser el lugar de comunicaciones anónimas y es al menos menos moderada que otras. El stealer intenta acceder al canal hxxps://mas.to/@oleg98 para obtener la dirección IP de un servidor de comando y control (C&C). Además, asigna un ID único para cada máquina infectada y lo anuncia al centro de comando.
Bağlantı kurulduğunda, kötü amaçlı yazılım konfigürasyon verilerini alır. Bu bilgi, ilk kötü amaçlı yazılımın çalışmasına yardımcı olan işlem zincirini oluşturmak için hizmet verir. Bunlar Devil.exe (tam olarak, Vidar’ın yürütülebilir dosyası), taskkill.exe ve timeout.exe şeklindedir. Ayrıca, varsayılan Windows konsol yardımcı programı olan conhost.exe’yi çağırır. Taskkill.exe işlemi, kötü amaçlı yazılım işlevselliğini potansiyel olarak bozabilecek işlemleri devre dışı bırakma görevini üstlenir. Timeout.exe işlemi, kötü amaçlı yazılımın yürütülmesini durdurur ve cihazdan siler. Mekanizmaların tümü ve Vidar kendisi C++ ile yazılmıştır.
Vidar hırsızı, çoğu fonksiyonu başlangıçta taşır, ancak şifre çalma işlevselliği ayrı bir modül olarak yürütülür. Konfigürasyon verileri alındıktan ve işlemler tamamlandıktan sonra C&C’ye bir kez gönderilmesini istiyor. Bu manipülasyonun amacı, güvenlik mekanizmaları devre dışı bırakılmadıkça kötü amaçlı yazılımın daha gizli olmasını sağlamaktır. Parola çalma modülleri, heuristik mekanizmalar aracılığıyla oldukça kolay algılanabilir, bu nedenle varışını geciktirmek daha iyidir. Kimlik bilgileri çıkarma için kullanılan kütüphaneler aşağıdaki gibidir:
- freebl3.dll
- mozglue.dll
- msvcp140.dll
- nss3.dll
- softokn3.dll
- cnruntime140.dll
Etkinliği sırasında, çalınan dosyaların dökümlerini oluşturur ve çıkarma işlemi için bekler. Bu dökümler, geçici klasörlerde C:\ProgramData dizininde saklanır. Bu dökümler, genellikle metin dosyaları veya nadiren zip arşivleri olarak saklanır. İşlem bittiğinde, bu dosyalar rastgele bir isimle tek bir büyük zip dosyasına sıkıştırılır ve bu şekilde bir komut ve kontrol sunucusuna gönderilir. Yine de, bu arşive erişimi kontrol etmek için şifreleme veya şifre uygulanmaz. Bu nedenle, birisi arşivi ele geçirdiğinde veya bilgisayarında gönderilmemiş bir arşiv bulduğunda, Vidar stealer’ın bilgisayarınızla ilgili neleri aldığını kontrol edebilirsiniz.
Bahsedilen veri kategorilerinin yanı sıra, Vidar belirli sistem bilgilerini de toplar. Özellikle, kötü amaçlı yazılımın kurulu olduğu yol, işlemin tarihi ve saati, donanım bilgileri ve yüklü yazılım listesi kaydedilir. Sonuncusu, bilgisayarın gerçek mi yoksa virüsü analiz etmek için kullanılan sanal bir makine mi olduğunu anlamak için gereklidir. Sanal makineler her zaman loglarda belirli izler bırakır ve bunların çıktı verileri dolandırıcılara muhtemelen faydasızdır.
Vidar stealer IoC
Indicator | Value | Note |
Hash | c40c62b978908e0f5112eee4ae7370fb9c4cc1ed7c90a171be89f6fd8c10b376 | Vidar Stealer dosyaları |
Connection | @oleg98@mas.to | Mastodon sosyal ağında C&C IP’sini geri gönderen bot |
C&C address | hxxp[:]//65.100.80[.]190 | Yukarıda bahsedilen bottan alınan IP adresi |
Vidar varyantları vahşi doğada yaygındır
- Trojan:Win32/Vidar.PC!MTB
- Trojan:Win32/Vidar.NX!MTB
- PWS:Win32/VidarStealer.MR!MTB
- Trojan:Win32/Vidar.AA!MTB
Vidar hırsızı yayılıyor
Kurbanların bilgisayarlarına nasıl girdiği konusuna gelmeden önce, Vidar’ın hangi kanallardan satıldığına bakmakta fayda var. Normal Darknet piyasaları ve hacker forumlarının yanı sıra, Vidar geliştiricileri yazılımlarını Telegram üzerinden sunuyorlar. Bu mesajlaşma uygulaması, son yıllarda daha fazla anonimlik vaat ettiği için farklı suçluların ilgi odağı haline geldi. Ancak, bu Telegram kanalından satın alım yaptıktan sonra bir şey alacağınızın garantisi yoktur.
Vidar dağıtıldığında, stand-alone bir kötü amaçlı yazılım olarak yayıldığında, yayılma kanalları diğer stealer malware’lerle oldukça benzerdir. En yaygın yöntem e-posta spam’ıdır – gerçek bir şirketi taklit eden ancak zararlı unsurlar içeren mesajlar. Vidar stealer durumunda, bu mesajlarda bir MS Office dosyası mektuba eklenir. Eklenti açıldığında, kullanıcı makro yürütmesini etkinleştirmesi konusunda bir teklif alacak – bu eylem, kötü amaçlı yazılımın teslimatını tetikler.
Vidar nadir durumlarda Facebook, Discord veya WhatsApp gibi farklı iletişim platformları üzerinden mesajlarla yayılıyor. Bu yaklaşım alıcının güvenini kazanmayı gerektirir; aksi takdirde e-posta spam kadar etkili olmayacaktır. Daha az mesaj hacmi ve dolandırıcılıklara karşı daha karmaşık koruma yöntemleriyle birleştiğinde, bu yöntemlerin etkinliği oldukça düşüktür.
Vidar hırsızı, yalnızca kendisi tarafından yayılmadığı gibi, sıklıkla bir kötü amaçlı yazılım paketinin parçası olarak da yayılmaktadır. Bu kötü amaçlı yazılım paketi STOP/Djvu fidye yazılımı ile birlikte yayılır. Son birkaç ay boyunca, bu fidye yazılımı ile birlikte gelir ve suçlulara ek gelir kaynakları sağlar. Çift şantaj yapmadıkları için, verilerin satışa sunulması muhtemeldir – Darknet’te yeterli sayıda alıcı vardır. Bu durumda, Vidar hırsızı kişisel verileri ele geçirmek için kullanılan başka bir araç olan Azorult casus yazılımının yerini almıştır. Djvu fidye yazılımı ile birleşimi, Vidar enfeksiyonlarının genel sayısında büyük bir paya sahiptir.
STOP/Djvu fidye yazılımı nedir?
STOP/Djvu fidye yazılımı, aynı adlı bir siber suçlu grubunun ürünüdür. Sadece bireylere yönelik olarak sunulan bir fidye yazılımı hizmeti olarak sunulmaktadır. 2019’da ortaya çıktı ve kısa sürede lider oldu ve 2020’de bireysel kullanıcılara yapılan tüm fidye yazılımı saldırılarının %75’ini ele geçirdi. Bu başarı, yetenekli ortaklar, yaygın hedefli yayılma kampanyaları ve iyi yapılmış yazılımın bir sonucudur. İmza tabanlı bir mekanizma ile tespit edilemeyecek kadar dosya bölümlerini değiştiren benzersiz bir paketleme mekanizmasına sahip olmasıyla ünlüdür. Bu günlerde, özellikle daha önce olduğu kadar yüksek enfeksiyon oranları sağlayabilecek bir şekilde dağıtmanın yeni bir yolunu bulmakta zorlanıyor.
Kendinizi stealer zararlı yazılımından nasıl korursunuz?
Hırsızlar, casus yazılımlar gibi, enfekte olan sistemdeki gizliliğine güvenirler. Yalnızca hareket halindeyken sisteminizde çok fazla değişiklik yapmazlar ve nadiren sistem akışınızı bozarlar. Bu nedenle, mümkün olduğunca az şans vermek daha iyidir. Buna odaklanalım ve bu kötü amaçlı yazılımdan kaçınmanıza yardımcı olacak şeylere bakalım.
Asla e-posta eklerine güvenmeyin. Yukarıda açıkladığım gibi, Vidar hırsızı enfeksiyonlarının büyük çoğunluğu yalnızca kötü amaçlı yazılım olarak e-posta spamıyla ilişkilidir. İçeriğiyle etkileşime geçmek, üçüncü taraf web sitesine bir bağlantı veya ekli bir dosya olsun, kötü bir fikirdir. Neyse ki, bunları tespit etmek oldukça kolaydır – gönderenin adresi ve beklenmedik içeriği olan tuhaf metinlerle – bu iki işarete bakarak çoğu dolandırıcılık e-postasını ayırt etmenize yardımcı olacaktır.
Pirat içeriklerden kaçının. Bu daha çok Vidar stealer ile birlikte gelen Djvu fidye yazılımı ile ilgilidir. Korsan oyun veya filmler sunan sitelerin çoğu, zararsız olduklarını size söyleyecektir. Ancak, sadece nadir durumlar temiz olsa da, tümü fidye yazılımı içermiyor. Yine de, bilgisayarınıza kötü amaçlı yazılım bulaştırmak veya telif hakkı yasasını ihlal ettiğiniz için dava açılma riskiyle karşı karşıya kalmak hoş bir durum değildir.
Kaliteli anti-malware yazılımı kullanın. Son çare olarak, bilgisayarınızdaki herhangi bir kötü amaçlı yazılımı etkili bir şekilde tespit edip silecek iyi bir güvenlik çözümüne sahip olmalısınız. GridinSoft Anti-Malware bunun için en uygunu olacaktır, çünkü 3 unsurdan oluşan mükemmel bir tespit mekanizmasına sahiptir. Ayrıca, arka planda çalıştığında sisteminizde herhangi bir yük hissetmeyeceksiniz. 6 günlük ücretsiz deneme sürümüyle, sunduğu tüm özellikleri test edebileceksiniz.
User Review
( votes)İngilizce Almanca Japonca İspanyolca Portekizce, Brezilya Fransızca Klasik Çince Kore dili Endonezya dili Hintçe İtalyanca