Vidar Malware in circolazione in Italia. Il CERT ha individuato una campagna di diffusione nel mese di Luglio. Cosa sappiamo di questo malware

Vidar in breve

Vidar è un malware infostealer individuato per la prima volta nel tardo 2018. Le prime analisi del codice hanno portato i ricercatori a indicarlo come una derivazione di Arkei, un altro malware infostealer che si differenzia in alcune parti del codice e nelle comunicazioni C&C. Il nome, Vidar, deriva proprio da una stringa rinvenuta dai ricercatori nel codice del malware.

Vidar malware principalmente mira al furto della cronologia del browser, dei cookie, delle credenziali, dei wallet di criptovaluta e dei dati dai software 2FA. Organizzato sul modello del malware as a service (MaaS), conta su una rete di affiliati che pagano tra i 130 e i 750 dollari di “abbonamento”.

Viene diffusi tramite campagne email dannose e di spam, ma anche tramite software craccati.

Per saperne di più > Cosa “gira” in Italia? Malware e campagne di attacco: report CERT 01-07 Luglio

Andiamo in dettaglio: l’evoluzione dell’infrastruttura

Nel tempo il gruppo che gestisce Vidar ha modificato l’infrastruttura di backend, probabilmente nel tentativo di riorganizzarsi e nascondere il più possibile il modus operandi più volte reso pubblico online.

“gli attori dietro Vidar continuano a ruotare la propria infrastruttura IP di backend”

hanno dichiarato i ricercatori di sicurezza di Team Cymru.

L’infrastruttura è stata divisa in due parti, una dedicata ai clienti regolari e l’altra per il team di gestione del malware, ma anche per gli utenti premium.

Vidar usa un dominio pubblico e un host, situato in Russia o Bielorussia, per gestire il malware. Le attività vengono poi dirette entro un sistema che sfrutta una VPN.

L'infrastruttura di Vidar nel Gennaio 2023
L'infrastruttura di Vidar nell?Aprile 2023
L'infrastruttura di Vidar nel Giugno 2023
gennaio2023
aprile2023
giugno2023
previous arrow
next arrow

Se, fino a poco tempo fa, era possibile scaricare il malware senza alcuna autenticazione, tentare la stessa azione ad oggi reindirizza ad una pagina di login per gli utenti. Anche l’IP del dominio è spesso aggiornato.

Gli aggiornamenti del payload

A partire dall’inizio del 2023 il gruppo dietro Vidar ha rilasciato ben tre diverse versioni aggiornate del malware, tutte con nuove funzionalità aggiunte. Ad esempio, la v. 1.8 ha introdotto una funzionalità di “form-grabbing” mirata a rubare i dati dal borwser Opera Crypto.

Vidar prende di mira i dati contenuti in Opera Crypto. Fonte: https://www.team-cymru.com

Andiamo in dettaglio: il furto dei dati

Come detto, la funzione principale di Vidar è il furto dei dati. Ecco, nella tabella sotto, i software presi di mira

Quali software prende di mira Vidar
Fonte: https://medium.com

Una volta raccolti tutti i dati, li comprime in un file ZIP nella cartella “\files”. Quindi questo file ZIP contenente i dati rubati viene inviato al server C&C, insieme all’ID del dispositivo infetto e la versione di Vidar in uso.

Per concludere, va detto che Vidar ha implementato anche una funzione di downloader, così da poter scaricare ulteriori malware dopo il furto delle informazioni. Quindi Vidar si cancella dal sistema praticamente senza lasciare tracce.

Guide utili per rimanere al sicuro da attacchi malware e phishing