Kwaadwillenden hebben verschillende tools beschikbaar om informatie te stelen van nietsvermoedende slachtoffers. Een voorbeeld hiervan zijn Vidar-stealers, die in de afgelopen jaren steeds populairder zijn geworden. Deze soort malware is zeer goed in het stiekem infecteren van apparaten om een breed scala aan gegevens te stelen en deze door te sturen naar de aanvaller.
Maar wat is een Vidar-stealer en hoe werken deze aanvallen?
Wat is een Vidar-stealer?
Vidar-stealers worden soms ook wel Vidar-spyware genoemd. Dit zijn specifieke soorten malware die als doel hebben om apparaten aan te vallen en persoonlijke gegevens en details van cryptovaluta-wallets te stelen binnen het systeem van een apparaat. Vidar wordt echter soms ook gebruikt als een methode om ransomware te plaatsen op apparaten.
Hoewel Vidar-botnets al sinds 2018 worden gebruikt, is het exacte ontstaan van dit type malware onduidelijk. In een interview in november 2023 bevestigden de auteurs echter dat de malware in feite een geëvolueerde Arkei-trojan is. De trojan fungeert als malware-as-a-service en kan direct op de website van de ontwikkelaar worden gekocht op het dark web.
De Vidar-malware staat vooral bekend om de manier waarop er gebruik wordt gemaakt van C2-communicatie (Command and Control Infrastructure). Dit komt meestal voor op sociale medianetwerken zoals Telegram en Mastodon. Recentelijk kwam dit ook voor op het sociale gamingplatform Steam.
Hoe werkt een Vidar-stealer?
Een Vidar-stealer gebruikt sociale media voor de C2-infrastructuur en als gedeelte voor het proces. Vaak wordt het adres van een specifiek sociaal netwerkprofiel ingebed in de Vidar-malware. Dit profiel heeft het geschikte C2 IP-adres in de specificaties. Hierdoor krijgt de spyware de controle over het profiel. De spyware kan dan communiceren met het IP-adres, bestanden en instructies downloaden en zelfs meer malware installeren.
Omdat het Vidar-botnet echter van nature een infostealer is, betekent dit dat de malware voornamelijk gevoelige gegevens verzamelt van een geïnfecteerd apparaat en deze informatie naar de aanvaller stuurt. Er zijn verschillende soorten gegevens die Vidar kan stelen, waaronder:
- Gegevens van besturingssystemen
- Aanmeldingsgegevens
- Creditcard- en bankrekeninggegevens
- Browsergeschiedenis
- Browsercookies
- Software die is geïnstalleerd op een apparaat
- Bestanden die zijn gedownload
- Cryptovaluta-wallets, voornamelijk Exodus, Ethereum, MultiDoge, Atomic, JAXX en ElectronCash
- Screenshots
- E-mails
- FTP-gebruikersgegevens
In sommige gevallen, waarbij Vidar speciaal wordt gebruikt om malware op een apparaat te installeren, wordt de C2-infrastructuur gebruikt om een link te creëren. Met behulp van deze link kan het geïnfecteerde bestand worden gedownload en uitgevoerd. Dit geeft de aanvaller toegang tot het apparaat. De crimineel kan vervolgens het apparaat gebruiken voor eigen doeleinden of deze aan andere cybercriminelen verkopen op het dark web.
Zodra de malware is gedownload op een apparaat, worden er verschillende methoden gebruikt door de malware om onzichtbaar te blijven. Vaak gebruiken Vidar-stealers een groot uitvoerbaar bestand om te voorkomen dat de malware wordt gedetecteerd door anti-virusscanners. In nauwkeurige analyses hebben experts ontdekt dat Vidar-monsters null bytes bevatten aan het einde van het bestand (ofwel nullen aan het einde van een .exe-bestand), waardoor de bestandsgrootte kunstmatig wordt vergroot. Omdat het bestand zo groot is, wordt de limiet van anti-malwaresoftwarebestanden vaak overschreden. Hierdoor wordt het bestand niet geanalyseerd. Daarnaast gebruiken Vidar-bestanden vaak reeksencodering en encryptie, waardoor het voor beschermingssoftware moeilijker is om deze bestanden te analyseren. Er worden ook bestanden gebruikt die zijn geauthenticeerd met verlopen digitale certificaten.
Nadat een apparaat is geïnfecteerd en er zoveel mogelijk gegevens zijn gestolen, verpakt de Vidar-trojan alle gegevens in een zip-bestand en verstuurt dit naar de opdrachtgevende server. Vervolgens vernietigt de malware zichzelf en wist deze al het bewijs dat de malware in het systeem van het apparaat heeft gezeten. Hierdoor is het erg lastig om aanvallen met Vidar-malware te onderzoeken.
Hoe verspreid Vidar-malware zich?
Vidar-malware wordt in de meeste gevallen verspreid door spam-e-mails. Het slachtoffer ontvangt een ongewenste, maar onschuldig uitziende e-mail die lijkt op een factuur voor een online aankoop of een bevestiging van een verlenging van een abonnement. De e-mail heeft gewoonlijk een bijlage, die het slachtoffer moet openen voor meer informatie. De Vidar-malware bevindt zich echter in deze bijlage. Zodra het slachtoffer de bijlage opent, wordt de malware geïmplementeerd.
De bijlage is vaak een Microsoft Office-document dat een macroscript bevat. Om deze reden wordt het slachtoffer gevraagd om de uitvoering van macro's toe te staan zodra het document wordt geopend. Zodra de gebruiker dit toestaat, wordt het apparaat gekoppeld aan de malwareserver en wordt de Vidar-stealer gedownload. Microsoft heeft de manier veranderd waarop een macro-uitvoering werkt om de kans op aanvallen via Vidar-malware te beperken.
Dit heeft echter als gevolg gehad dat cybercriminelen andere manier hebben gevonden om de Vidar-trojan te verspreiden. Hier volgt een overzicht:
- ISO-bestanden als bijlage: Vidar-malware kan ook worden verspreid als een ISO-bestand als bijlage in een e-mail. Voorbeelden hiervan zijn een geïnfecteerde Microsoft Compiled HTML Help (CHM)-bestand en een uitvoerbaar 'app.exe'-bestand, dat ervoor zorgt dat de malware wordt geïmplementeerd zodra de bijlage wordt geopend
- .zip-archieven: in één bepaald geval hebben aanvallers het kledingmerk H&M nagebootst om phishing-e-mails te sturen. Deze e-mails leidden de ontvangers naar een Google Drive-map, waar ze vervolgens een .zip-archief moesten downloaden om toegang te krijgen tot een contract en betalingsinformatie. Het bestand zou vervolgens de Vidar-stealeraanval in werking zetten.
- Frauduleuze installatieprogramma's: aanvallers kunnen de Vidar-spyware toevoegen aan frauduleuze installatieprogramma's voor legitieme software die gebruikers kunnen downloaden (zoals Adobe Photoshop of Zoom) en kunnen deze naar slachtoffers sturen via een bijlage in een spam-e-mail
- Google Search-advertenties: een van de meest voorkomende en meest recente manieren om Vidar-malware te verspreiden is via Google Search-advertenties die malware in hun script hebben. De aanvaller creëert Google-advertenties die sprekend lijken op de advertenties van een legitieme softwareontwikkelaar. Wanneer een nietsvermoedende gebruiker deze software downloadt en uitvoert, begint de malware te werken en infecteert deze het apparaat.
- Associatie met ransomware: in sommige gevallen heeft het Vidar-botnet aanvallen uitgevoerd in samenwerking met verschillende soorten ransomware, zoals STOP/Djvu en GandCrab, evenals malware als PrivateLoader en Smoke. Bij deze zeer schadelijke aanvallen zijn de twee soorten malware tegelijk verspreid. Dit leidt tot ernstigere infecties, gegevensdiefstal en problemen voor de gebruiker wiens apparaat is geïnfecteerd.
5 essentiële tips waarmee je jezelf kunt beschermen tegen Vidar-stealers
De Vidar-stealer is gevaarlijk, niet alleen omdat deze gebruikersgegevens en systeeminformatie kan stelen, maar ook omdat deze meer soorten malware bij zich kan dragen. Daarom moeten individuen en organisaties maatregelen nemen om de kans op een aanval via een Vidar-trojan te beperken. Hier volgen vijf nuttige maatregelen:
- Gebruik anti-virus- en webbeschermingssoftware die op dit soort cyberbedreigingen controleert en ze onschadelijk maakt.
- Gebruik e-mailbeveiligingsoplossingen om alle binnenkomende e-mails te scannen en potentieel verdachte berichten te vermijden.
- Onthoud de beste praktijken omtrent wachtwoorden, waaronder het gebruik van een password manager, het aanmaken van complexe wachtwoorden en het regelmatig wijzigen van je wachtwoorden.
- Houd alle software en besturingssystemen up-to-date om ervoor te zorgen dat de nieuwste beveiligingspatches worden geïmplementeerd.
- Voer regelmatig volledige systeemscans uit op computers om te controleren op ongedetecteerde Vidar-spyware of andere infecties en deze te verwijderen.
Deze maatregelen zouden onderdeel moeten zijn van een allesomvattende strategie om mogelijke beveiligingsinbreuken en schadelijke activiteit tegen te gaan. Hier hoort het gebruik van een virtueel privénetwerk (VPN) bij om het IP-adres van het apparaat te maskeren en alle online activiteit te versleutelen.
Vidar-stealers: een hardnekkige bedreiging
Vidar-malware is zeer technische spyware. Hoewel deze aanvallen vaak beginnen met een spam-e-mail, advertenties, geïnfecteerde software of op een andere manier, zijn ze vaak schadelijker dan het lijkt omdat Vidar-malware een grote hoeveelheid gegevens kan stelen. Hierdoor krijgt de aanvaller een enorme hoeveelheid gegevens in handen waarmee diegene verder schade kan veroorzaken. Ook kan de informatie worden verkocht op het dark web. Door echter de beste praktijken voor internet- en e-mailveiligheid te onthouden, kun je de kans verkleinen op een Vidar-aanval.
Koop Kaspersky Premium + 1 JAAR GRATIS Kaspersky Safe Kids. Kaspersky Premium ontving vijf AV-TEST-awards voor beste bescherming, beste prestaties, snelste VPN, goedgekeurd ouderlijk toezicht voor Windows en beste beoordeling voor ouderlijk toezicht voor Android.
Gerelateerde artikels en links:
- Hoe verwijder je malware?
- Bescherming tegen ransomware: houd je gegevens veilig in 2024
- Ransomware verwijderen: gegevens ontsleutelen - het virus doden
- Malware en exploits detecteren
Gerelateerde producten en diensten:
