行动中的 Vidar 信息窃取器
从应用程序接口挂钩到隐蔽数据外渗
Aryaka 威胁研究实验室分析了 Vidar 的一个新变种,Vidar 是一种长期以恶意软件即服务(MaaS)模式销售的信息窃取程序。自 2018 年以来,Vidar 通过加密 C2 通道、LOLBin 滥用和隐蔽渗出等手段不断进化,以保持对现代防御系统的有效性。
它以 Windows 系统为目标,窃取各种资产,包括浏览器凭据、加密货币钱包、2FA 数据、消息令牌和个人文件,然后将这些资产转移到攻击者的基础设施,以便转售或进一步利用。
主要见解包括
- 通过加密的指挥与控制 (C2) 渠道增强隐蔽性
- 滥用 “离岸二进制”(LOLBins)进行持久性和规避
- 以 Windows 环境为目标,具备广泛的数据窃取能力
- 收获凭证、cookie、信用卡、钱包、2FA 数据、令牌、文件和屏幕截图
- 数据被打包外流,以便在地下市场转售或进一步利用
