我们一直在跟踪多产的恶意活动,几周并捕获了各种有效载荷,包括几个窃贼。一个我们最初被确定为Arkei的旨在成为vidar,最近一块新的恶意软件详细分析Fumik0_在他的帖子中:让我们深入了解Vidar——Arkei山寨/分叉盗版者(深入分析)

在北欧神话中,Við加勒比海盗是神的儿子吗奥丁,它的死亡是预言,他会报复。被称为“沉默的”似乎适合这种偷窃师,可以从浏览器历史(包括Tor浏览器)和加密货币钱包,捕获即时消息等等。

我们目睹了一种使用辐射利用套件来分发VIDAR的威胁演员。但受害者不会注意到,随着被推动的次要和嘈杂的有效载荷,Gandcrab赎金制品

概述

一个恶意广告链带我们找到了《辐射》的开发工具包然后我们以为是阿凯的窃听器。仔细一看,虽然这个样本与Arkei有很多相似之处(包括网络事件),但它实际上是一个更新的、当时还没有公开描述的恶意软件,现在被识别为Vidar。

除了Vidar的窃取能力,我们还注意到从Vidar自己的指挥和控制(C2)服务器上取回了一个次级有效载荷。感染时间线显示,受害者首先被Vidar感染,Vidar试图获取机密信息,然后最终被GandCrab勒索软件攻击。

恶意和辐射利用套件

Torrent和流媒体视频网站带来了大量的流量,而它们的广告往往是咄咄逼人的,监管不力。一个使用流氓广告域的恶意行为者根据他们的地理位置和来源,将这些网站访问者重定向到至少两个不同的开发工具包(辐射EK和GrandSoft EK),尽管前者是最活跃的。

像AZORult这样的偷窃者似乎是这里最受欢迎的有效载荷,但我们也注意到阿凯/维达尔很常见。在这个特殊的例子中,我们看到Vidar是通过《辐射》的开发套件被推进的。

vidar.

应该注意的是,VIDAR作为产品出售,因此可以通过不同的广告系列分发几个不同的威胁组。

Vidar客户可以通过配置文件自定义盗贼,这为他们提供了一种调整他们感兴趣的数据的方法。除了通常的信用卡号和存储在应用中的其他密码之外,VIDAR还可以刮令人印象深刻的数字钱包。

在执行系统时,VIDAR将搜索其配置文件配置中指定的任何数据,并立即通过未加密的HTTP POST请求发送回C2服务器。

这包括高层次的系统详细信息(规格、运行的进程和安装的应用程序)和有关受害者的统计信息(IP地址、国家、城市和ISP),存储在一个名为Information.txt.。此文件与其他被盗数据一起打包,并在被发送回C2服务器之前拉链。

GandCrab作为加载器

Vidar还提供通过其命令和控制服务器下载额外的恶意软件。这被称为加载器特性,同样,可以在Vidar的管理面板中通过向有效负载添加直接URL来配置它。然而,并不是所有Vidar实例(绑定到配置文件ID)都会下载额外的有效负载。在这种情况下,服务器将返回一个“ok”响应,而不是URL。

HTTP/1.1 200 OK日期:内容类型:文本/html;charset=UTF-8 Connection: keep-alive Server: Pro-Managed Content-Length: 51 http://ovz1.fl1nt1kk.10301.vps.myjino[.]ru/topup.exe;

在初始VIDAR感染后约一分钟内,受害者的文件将被加密,他们的壁纸被劫持,以显示Gandcrab 5.04版的注释。

勒索软件作为最后一个有效载荷

勒索制造器经历了2018年的放缓,它仍然是更危险的威胁之一。与许多其他类型的恶意软件相比,勒索软件立即可见,需要呼叫行动,是否受害者决定支付赎金。

但是,威胁演员可以在他们的比赛书中出现各种原因的赎金瓶。例如,它可以是一个简单的诱饵,其中真正的目标是不可逆转地腐败系统,没有任何方式恢复丢失的数据。但正如我们在这里看到的,它可以与其他威胁耦合并用作其他资源已经耗尽的最后一个有效载荷。

因此,受害者得到双重鞭子。它们不仅抢劫了他们的财务和个人信息,而且它们也被嵌入到恢复现在的加密数据。

必威平台APPMalwarebytes用户在多个级别受到这种威胁。我们的签名反泄漏引擎减轻了互联网资源管理器和Flash Player由Fallout Exploit Kit提供的漏洞。我们发现掉落的偷窃贼spyware.vidar.并且还通过我们的反赎金软件模块阻止了Gandcrab。

致谢

非常感谢Fumik0_@siri_urz为其输入和vidar有效载荷识别。

妥协指标(IOC)

维大的二进制

E99DAF10E6CB98E93F82DBE344E6D6B483B9073E80B128C163034F68DE63BE33

vidar c2.

kolobkoproms ug。

加载器URL(GANDCRAB)

ovz1.fl1nt1kk.10301.vps.myjino俄文/ topup.exe。

Gandcrab二进制文件

ABF3FDB17799F468E850D823F845647738B664745138315647451383156473f1742ffbd61ec.