Hemos estado rastreando una prolífica campaña de publicidad maliciosa durante varias semanas y hemos capturado una variedad de cargas útiles, incluidos varios ladrones. Uno que inicialmente identificamos como Arkei resultó ser Vidar, una nueva pieza de malware recientemente analizada en detalle por Fumik0_ en su publicación: Vamos a profundizar en Vidar: un Arkei Copycat / Forked Stealer (análisis en profundidad) .
En la mitología nórdica, Víðarr es un dios e hijo de Odín , cuya muerte se predice que se vengará. Ser referido como «El Silencioso» parece ser adecuado para este ladrón que puede saquear desde los historiales del navegador (incluido el Navegador Tor) y las carteras de criptomoneda, capturar mensajes instantáneos y mucho más.
Fuimos testigos de un actor de amenazas que usaba el kit de exploits Fallout para distribuir Vidar. Pero las víctimas no lo notarán tanto, ya que la carga útil secundaria y más ruidosa que se está empujando es el ransomware GandCrab.
Visión general
Una cadena de publicidad maliciosa nos lleva al kit de explotación de Fallout seguido de lo que pensamos que era un ladrón de Arkei. En una mirada más cercana, mientras que la muestra compartía muchas similitudes con Arkei (incluidos los eventos de la red), en realidad era una pieza de malware más nueva y, en ese momento, aún no descrita públicamente ahora identificada como Vidar.
Más allá de las capacidades del ladrón de Vidar, también notamos una carga útil secundaria que se recuperó del propio servidor de comando y control (C2) de Vidar. La línea de tiempo de la infección mostró que las víctimas se infectaron primero con Vidar, que intentó extraer información confidencial, antes de que finalmente se comprometiera con el ransomware GandCrab.
Malvertising y el kit de exploits de Fallout.
Los sitios de torrent y video streaming generan mucho tráfico, y su publicidad a menudo es agresiva y está mal regulada. Un actor malintencionado que utiliza un dominio de publicidad fraudulento está redirigiendo a estos visitantes del sitio de acuerdo con su geolocalización y procedencia a al menos dos kits de exploits diferentes (Fallout EK y GrandSoft EK), aunque el primero es el más activo.
Los ladrones como AZORult parecen ser la carga útil favorita aquí, pero también notamos que Arkei / Vidar era bastante común. En este caso particular, vimos a Vidar siendo empujado a través del kit de explotación de Fallout.
Vidar
Cabe señalar que Vidar se vende como un producto, y como tal puede ser distribuido por diferentes grupos de amenazas a través de diferentes campañas.
Los clientes de Vidar pueden personalizar el ladrón a través de perfiles, lo que les permite ajustar el tipo de datos que les interesan. Además de los números de tarjetas de crédito habituales y otras contraseñas almacenadas en las aplicaciones, Vidar también puede raspar una impresionante selección de carteras digitales.
Tras la ejecución en el sistema, Vidar buscará los datos especificados en su configuración de perfil y los enviará de inmediato al servidor C2 a través de una solicitud POST de HTTP sin cifrar.
Esto incluye detalles del sistema de alto nivel (especificaciones, procesos en ejecución y aplicaciones instaladas) y estadísticas sobre la víctima (dirección IP, país, ciudad e ISP) almacenadas en un archivo llamado information.txt . Este archivo se empaqueta junto con otros datos robados y se comprime antes de enviarlo de vuelta al servidor C2.
GandCrab como cargador
Vidar también ofrece descargar malware adicional a través de su servidor de comando y control. Esto se conoce como la función del cargador y, nuevamente, se puede configurar dentro del panel de administración de Vidar agregando una URL directa a la carga útil. Sin embargo, no todas las instancias de Vidar (vinculadas a una ID de perfil) descargarán una carga útil adicional. En ese caso, el servidor enviará una respuesta de «ok» en lugar de una URL.
HTTP / 1.1 200 OK Fecha: Tipo de contenido: texto / html; conjunto de caracteres = UTF-8 Conexión: mantener vivo Servidor: Pro-Managed Contenido-Longitud: 51 http: //ovz1.fl1nt1kk.10301.vps.myjino [.] ru / topup.exe;
Aproximadamente un minuto después de la infección inicial con Vidar, los archivos de la víctima se cifrarán y su fondo de pantalla se secuestrará para mostrar la nota de GandCrab versión 5.04.
Ransomware como última carga útil
Si bien el ransomware experimentó una desaceleración en 2018, sigue siendo una de las amenazas más peligrosas. En contraste con muchos otros tipos de malware, el ransomware es visible al instante y requiere una llamada a la acción, ya sea que las víctimas decidan pagar el rescate o no.
Sin embargo, los actores de amenazas pueden usar ransomware por una variedad de razones dentro de su libro de jugadas. Podría ser, por ejemplo, un simple señuelo donde el objetivo real es corromper irreversiblemente los sistemas sin ninguna forma de recuperar datos perdidos. Pero como vemos aquí, se puede combinar con otras amenazas y utilizar como una última carga útil cuando ya se han agotado otros recursos.
Como resultado, las víctimas reciben un doble golpe. No solo se les roba su información financiera y personal, sino que también se les está extorsionando para recuperar los datos ahora encriptados.
Los usuarios de Malwarebytes están protegidos contra esta amenaza en múltiples niveles. Nuestro motor anti-exploit sin signo mitiga los exploits de Internet Explorer y Flash Player entregados por el kit de exploits Fallout. Detectamos al ladrón abandonado como Spyware.Vidar y también frustramos GandCrab a través de nuestro módulo anti-ransomware.
Sobre el autor