Vidar和GandCrab:信息窃取器和勒索软件强强联合

Vidar和GandCrab:信息窃取器和勒索软件强强联合

研究人员数周来一直在追踪一个恶意广告活动,并捕获了各种有效载荷,包括几个窃取器。研究人员最初认为是Arkei的窃取器结果被证明是Vidar,这是一种新型的恶意软件。

在北欧神话中,Víðarr是Odin的儿子,Odin死后Víðarr扬言他将报复。“沉默者”这个名字似乎特别适合这个窃取器,它可以从浏览器历史(包括Tor浏览器)和加密货币钱包中窃取即时消息等等。

研究人员发现黑客使用Fallout漏洞利用工具包来分发Vidar。但受害者不会注意到这一点,因为次级有效载荷是GandCrab勒索软件。

概观

一个恶意广告链让研究人员发现了Fallout漏洞利用工具包,研究人员最初认为是Arkei窃取器。仔细观察,虽然该样本确实与Arkei有很多相似之处,但它实际上是一个新的、当时尚未公开描述的、现在被识别为Vidar的恶意软件。

Vidar和GandCrab:信息窃取器和勒索软件强强联合

除了Vidar的窃取功能之外,研究人员还发现了从Vidar自己的命令和控制(C2)服务器检索到的次级有效负载。感染时间表显示受害者首先感染了Vidar,Vidar试图提取机密信息,然后最终被GandCrab勒索软件入侵。

恶意广告和Fallout漏洞利用工具包

Torrent和流媒体视频网站带来了大量流量,而且他们的广告往往具有攻击性而且没有受到有力的监管。根据地理位置和来源,黑客使用恶意广告域将这些网站访问者重定向到至少两个不同的漏洞利用工具包(Fallout EK和GrandSoft EK),前者是最活跃的。

像AZORult这样的窃取器似乎是最受欢迎的有效载荷,但研究人员发现Arkei / Vidar也很常见。在这个特定的例子中,研究人员看到Vidar通过Fallout漏洞利用工具包分发。

Vidar和GandCrab:信息窃取器和勒索软件强强联合

Vidar

应该注意的是,Vidar作为产品出售,因此可以在不同的活动发现它。

Vidar和GandCrab:信息窃取器和勒索软件强强联合

Vidar客户可以通过配置文件自定义窃取器,这使他们可以调整他们感兴趣的数据类型。除了常见的信用卡号和存储在应用程序中的其他密码之外,Vidar还可以搜索数字钱包。

Vidar和GandCrab:信息窃取器和勒索软件强强联合

在系统上执行后,Vidar将搜索其配置文件中指定的任何数据,并立即通过未加密的HTTP POST请求将其发送回C2服务器。

这包括高级系统详细信息(规范、运行进程和已安装的应用程序)以及存储在名为information.txt的文件中的受害者的个人信息(IP地址、国家/地区、城市和ISP)。此文件与其他数据一起打包并压缩后再发送回C2服务器。

Vidar和GandCrab:信息窃取器和勒索软件强强联合

作为加载器的GandCrab

Vidar还可以通过其命令和控制服务器下载其他恶意软件。同样,它可以通过向有效负载添加指向URL在Vidar的管理面板中进行配置。但是,并非所有Vidar(与配置文件ID相关联)都会下载额外的有效负载。在这种情况下,服务器将回复“ok”作为响应,而不是URL。

Vidar和GandCrab:信息窃取器和勒索软件强强联合

在感染Vidar后大约一分钟内,受害者的文件将被加密,壁纸也会被劫持并显示GandCrab的勒索信。

Vidar和GandCrab:信息窃取器和勒索软件强强联合

勒索软件作为最后一个有效载荷

虽然2018年勒索软件的出现频率有所放缓,但它仍然是主要的威胁之一。与许多其他类型的恶意软件相比,不管受害者是否支付赎金,勒索软件造成的影响都非常严重。

但是,黑客可以出于各种原因使用勒索软件。例如,勒索软件可能只是一个简单的诱饵,其真正目的是不可逆转地破坏系统,使其无法恢复丢失的数据。但是正如我们在这里看到的,它可以与其他威胁结合使用,并在其他资源已经耗尽时用作最后一个有效载荷。

所造成的结果就是,受害者受到双重打击。他们不仅被抢走了财务和个人信息,而且还被勒索。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133931.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code