Vidar Infostealer in Aktion

Vom API-Hooking zur verdeckten Datenexfiltration

---

Die Aryaka Threat Research Labs haben eine neue Variante von Vidar analysiert, einem langjährigen Infostealer, der als Malware-as-a-Service (MaaS) verkauft wird. Seit 2018 hat sich Vidar mit verschlüsselten C2-Kanälen, LOLBin-Missbrauch und verdeckter Exfiltration weiterentwickelt, um gegen moderne Verteidigungsmaßnahmen wirksam zu bleiben.

Er zielt auf Windows-Systeme ab und stiehlt eine Vielzahl von Daten, darunter Browser-Anmeldeinformationen, Kryptowährungs-Wallets, 2FA-Daten, Messaging-Tokens und persönliche Dokumente, bevor er sie in die Infrastruktur der Angreifer einschleust, um sie weiterzuverkaufen oder auszunutzen.

Die wichtigsten Erkenntnisse sind:

• Verbesserte Tarnung durch verschlüsselte Command-and-Control (C2) Kanäle
• Missbrauch von Living-off-the-Land Binaries (LOLBins) für Persistenz und Umgehung
• Windows-Umgebungen mit umfangreichen Möglichkeiten zum Datendiebstahl ins Visier nehmen
• Sammelt Anmeldeinformationen, Cookies, Kreditkarten, Geldbörsen, 2FA-Daten, Token, Dokumente und Bildschirmfotos
• Daten werden verpackt und für den Weiterverkauf oder die Weiterverwertung auf Untergrundmärkten exfiltriert