它是如何工作的?
Vidar 惡意軟體通常透過電子郵件傳遞,最近在許多活動中以 ISO 檔案形式傳遞,這是惡意軟體作者通常用來打包惡意軟體的磁碟映像檔格式。在 Vidar 的案例中,惡意 ISO 已嵌入 Adobe Photoshop 和 Microsoft Teams 等合法軟體的虛假安裝程式中,透過 Fallout 漏洞攻擊傳播,並作為網路釣魚電子郵件的附件發送。
一旦惡意軟體到達受感染的計算機,它就會使用幾種不同的技術來防止檢測。其中包括使用大型可執行檔案 (專為擊敗防毒掃描器而設計),以及使用過期且可能被破壞的 Avast 數位憑證進行數位簽署的檔案。
Vidar 是一個信息竊取者,經常使用社交媒體作為其命令和控制(C2)基礎架構的一部分。 C2 基礎架構的 IP 位址將嵌入 Mastodon 或 Twitter 等平台上的用戶設定檔中。 惡意軟體可以存取此設定文件,聯繫指定的 IP 位址,並下載設定檔、指令和其他惡意軟體。
威脅
Vidar 主要是資訊竊取器,這意味著它旨在從受感染的電腦收集各種敏感資訊,並將這些資料提供給攻擊者。 Vidar 從受感染的電腦、瀏覽器和數位錢包收集的一些資訊範例包括以下內容:
- 作業系統數據
- 帳戶認證
- 信用卡資料
- 瀏覽器歷史記錄
除了收集敏感資料外,Vidar 還可以用作其他惡意軟體的下載程式。C2 伺服器可以指定惡意軟體將檔案下載到的鏈接,然後執行該鏈接。這使得 Vidar 業者可以向其他部署勒索軟體的網路犯罪分子出售受感染機器的存取權限。
如何防範 Vidar 惡意軟體
Vidar 是一種資訊竊取惡意軟體,也可用於傳播其他形式的惡意軟體。組織可以防禦此惡意軟體威脅的一些方法包括:
- 員工培訓: Vidar 通常透過網路釣魚電子郵件或合法軟體的虛假下載進行分發,這些軟體實際上會傳播惡意軟體。訓練員工識別惡意附件並正確回應,以及避免破解合法軟體副本,可以減少 Vidar 感染的威脅。
- 電子郵件資安:許多 Vidar 活動將惡意 ISO 檔案作為網路釣魚電子郵件的附件提供。檢查電子郵件附件是否有惡意內容的電子郵件安全解決方案可以在 Vidar 惡意軟體到達使用者收件匣之前識別並封鎖它。
- 網路安全: Vidar 惡意軟體可以作為惡意下載的一部分進行分發,其中惡意軟體偽裝成合法軟體的免費版本。Web 安全解決方案可以在惡意軟體到達使用者電腦之前識別並阻止惡意下載和對危險網站的存取。
- 端點資安: Vidar 是一種惡意軟體,也可能下載並執行其他惡意軟體。端點資安解決方案可以幫助阻止惡意下載並清除電腦上的感染。
- 強式密碼:Vidar 從不同位置竊取認證,但其中一些數據可能是密碼哈希,而不是純文字密碼。 使用強大、長和隨機密碼可能會使攻擊者更難破解密碼。
- 多重身份驗證 (MFA):身為資訊竊取者,使用者憑證是 Vidar 惡意軟體的主要目標。盡可能部署 MFA 可能會使攻擊者更難使用他們遭竊的認證。
如何移除 Vidar 惡意軟體?
Vidar 通常在其惡意 ISO 文件中的文件執行後,由使用者或惡意安裝程序直接安裝在計算機上。 如果電腦上安裝了端點資安解決方案,它應該能夠透過從系統中移除惡意軟體來識別和修復感染。
反映意見