惡意人士能使用許多工具來攻擊毫無戒心的受害者並竊取資訊。近年來,Vidar 竊資軟體越來越常見。這種特殊的惡意軟體能非常有效而不易察覺地感染裝置、竊取大量資訊並將其傳送給攻擊者。
Vidar 竊資軟體到底是什麼?其攻擊原理為何?
什麼是 Vidar 竊資軟體?
Vidar 竊資軟體(有時也稱為 Vidar 間諜軟體)是一種惡意軟體,能攻擊裝置並竊取裝置系統內的個人資訊和加密貨幣錢包的詳細資訊。Vidar 有時也用來向裝置傳送勒索軟體。
儘管 Vidar 殭屍網路自 2018 年以來就已存在,但其確切起源尚不清楚。然而,在 2023 年 11 月的一次訪談中,其製作者證實該惡意軟體是 Arkei 木馬軟體的演進,其以惡意軟體即服務的方式提供,並可直接從暗網上的開發者網站購買。
Vidar 惡意軟體因其利用命令和控制基礎設施(或 C2 通訊)的方式而聞名,其主要透過 Telegram 和 Mastodon 等社群媒體網路進行,最近也在社群遊戲平台 Steam 上出現。
Vidar 竊資軟體如何運作?
Vidar 通常將社群媒體當作其 C2 基礎設施並作為其流程的一部分。通常,某些社群網路設定檔的位址將嵌入 Vidar 惡意軟體中,其規格中將包含相關的 C2 IP 位址。這使得間諜軟體能夠控制設定檔,包括與 IP 位址進行通訊、下載檔案和指令,甚至安裝更多惡意軟體。
然而,由於 Vidar 殭屍網路的核心任務是竊取資訊,因此其主要功能是從受感染的裝置收集敏感資訊並將其傳送給攻擊者。Vidar 能竊取多種類型的資訊,包括:
- 作業系統資訊
- 登入資訊
- 信用卡或銀行資訊
- 瀏覽器歷史紀錄
- 瀏覽器 cookie
- 裝置上安裝的軟體
- 下載檔案
- 加密貨幣錢包 - 特別是 Exodus、Ethereum、MultiDoge、Atomic、JAXX 和 ElectronCash
- 截圖
- 電子郵件
- FTP 憑證
在某些情況下,當 Vidar 被特別用於在裝置上安裝惡意軟體時,它會使用其 C2 基礎設施來指定下載受感染檔案的連結,然後執行該檔案。這使攻擊者能存取該裝置,並將其作為己用,或在暗網上將其出售給其他網路犯罪人士。
此種軟體在被下載到電腦上後就會利用多種方法來保持不被發現。通常,Vidar 竊資軟體會使用大型可執行檔來逃避防毒掃描程式的偵測。在專家仔細分析後,他們發現 Vidar 樣本在檔案末尾包含空位元組(或在 .exe 檔案末尾包含零),藉此故意增加檔案大小。由於檔案太大,通常會超出防惡意軟體的檔案限制,然後防惡意軟體就會選擇跳過該檔案而不進行分析。此外,Vidar 檔案通常會使用字串編碼和加密,讓保護軟體更難進行分析,而且其還能使用已通過的過期數位證書進行身份驗證的檔案。
在感染相關裝置並盡可能竊取資訊後,Vidar 木馬程式能將所有資料打包到 ZIP 檔案中並將其傳送到命令伺服器。然後,該惡意軟體就會自毀並刪除其在裝置系統中存在過的所有相關證據。因此,調查 Vidar 惡意軟體攻擊非常困難。
Vidar 如何傳播?
Vidar 惡意軟體幾乎總是透過垃圾郵件傳播。受害者通常會收到一封未經請求但看起來無害的電子郵件,其內容類似於線上購買的發票或訂閱續約的確認。此類電子郵件通常會有一個附件,受害者將被引導開啟該附件以獲取更多資訊,而附件中嵌入了 Vidar 惡意軟體,並會在受害開啟附件時部署惡意軟體。
此類附件經常是使用巨集腳本的 Microsoft Office 檔案,並在開啟檔案時會要求使用者啟用巨集執行。一旦啟用,裝置就會連接到惡意軟體伺服器並下載 Vidar 竊資軟體。為了防範 Vidar 惡意軟體的攻擊,微軟針對巨集執行的方式進行了改變。
然而,網路犯罪人士只需要使用其他方式就仍能傳播 Vidar 木馬程式。包括:
- 附件 ISO 檔案:Vidar 惡意軟體也能透過電子郵件作為附件 ISO 檔案傳送,例如:受感染的 Microsoft 編譯 HTML 說明(CHM)檔案和可執行的「app.exe」檔案,其能在開啟附件時啟動惡意軟體
- .zip 檔案:在某次案例中,攻擊者假冒時尚品牌 H&M 傳送網路釣魚電子郵件,將收件者引導至 Google Drive 資料夾,並表示其需要從該資料夾下載 .zip 檔案才能存取收據和付款資訊。然後該檔案從該處啟動 Vidar 竊資軟體並進行攻擊。
- 假冒安裝程式:攻擊者能將 Vidar 間諜軟體嵌入到假冒的合法軟體安裝程式中(例如:Adobe Photoshop 或 Zoom)並讓使用者下載或將其作為垃圾郵件中的附件傳送給受害者
- Google 搜尋廣告:最近,傳播 Vidar 最常見的方式之一是透過在腳本中嵌入惡意軟體的 Google 搜尋廣告。攻擊者製作的 Google 廣告與合法軟體發布者的廣告極其相似,當毫無戒心的使用者下載軟體並運行時,惡意軟體就會執行並感染其裝置。
- 配合勒索軟體:在某些情況下,Vidar 殭屍網路能配合各種勒索軟體(例如:STOP/Djvu 和 GandCrab)或惡意軟體(如 PrivateLoader 和 Smoke)執行攻擊。在此類高度惡意的攻擊中,這兩種惡意軟體會一起傳播並導致更廣泛的感染、資料竊取,並給裝置受到感染的使用者造成問題。
如何防範 Vidar 竊資軟體:5 個基本建議
Vidar 竊資軟體不僅能竊取使用者資料和系統訊息,其還可以用於傳播更多類型的惡意軟體。因此,個人和組織需要採取相關措施來避免受到 Vidar 木馬程式的攻擊。下列為五種實用的預防措施:
- 使用防毒和網路保護軟體來監控此類網路威脅並進行移除。
- 使用電子郵件安全解決方案掃描所有收到的電子郵件並封鎖潛在的可疑訊息。
- 維持良好的密碼使用習慣,包括使用密碼管理器、建立複雜的密碼以及定期更改密碼。
- 保持所有軟體和作業系統的更新,確保部署最新的安全性修補程式。
- 定期對電腦執行完整的系統掃描,以檢查是否有任何未偵測到的 Vidar 間諜軟體或其他感染,並將其移除。
作為因應潛在安全漏洞和惡意活動的廣泛策略,還應使用虛擬私人網路(VPN)來掩蓋裝置的 IP 位址並加密所有線上活動。
Vidar 竊資軟體:持續的威脅
Vidar 惡意軟體是一種技術含量很高的間諜軟體。儘管此類攻擊通常以垃圾郵件、廣告、破解軟體或其他方式入侵,但由於 Vidar 能竊取大量的資訊,因此通常其具有更嚴重的危害性,讓攻擊者能獲得大量資訊來執行進一步的犯罪行為或在暗網上出售。然而,透過遵守基本的網路和電子郵件安全最佳習慣,就能將 Vidar 的威脅和受到攻擊的機會減至最小。
立即使用卡巴斯基高階版 + 1 年免費 Kaspersky Safe Kids。卡巴斯基高階版榮獲五項 AV-TEST 獎項,包括最佳保護、最佳效能、最快 VPN、經認證的 Windows 家長控制以及 Android 家長控制最佳評級。
相關文章和連結:
相關產品和服務: