Vidar Infostealerの動作
APIフッキングから秘密のデータ流出まで
Aryaka Threat Research Labs は、Malware-as-a-Service (MaaS) モデルで販売されている長期間の情報窃取ツールである Vidar の新しい亜種を分析しました。2018年以降、Vidarは暗号化されたC2チャネル、LOLBinの悪用、および最新の防御に対して効果的であり続けるための秘密の流出によって進化しています。
Windowsシステムを標的とし、ブラウザの認証情報、暗号通貨ウォレット、2FAデータ、メッセージングトークン、個人文書など、さまざまな資産を窃取します。
主な洞察は以下の通り:
- 暗号化された指揮統制(C2)チャンネルによるステルス性の強化
- 永続性と回避のためのLOLB(Living-off-the-Land Binaries)の悪用
- 広範なデータ盗難機能を備えたWindows環境をターゲット
- クレデンシャル、クッキー、クレジットカード、ウォレット、2FAデータ、トークン、ドキュメント、スクリーンショットを収集します。
- アンダーグラウンド・マーケットでの転売やさらなる搾取のためにパッケージ化され、流出したデータ。
