Ένα κακόβουλο λογισμικό που κλέβει διαπιστευτήρια με το όνομα Vidar έχει αναδειχθεί αθόρυβα ως μία από τις πιο ενεργές απειλές που στοχεύει εταιρικούς υπαλλήλους στις αρχές του 2026.
Οι φορείς απειλών χρησιμοποιούν πλαστές λήψεις λογισμικού που προωθούνται μέσω βίντεο του YouTube για να ξεγελάσουν τους εργαζόμενους ώστε να το εγκαταστήσουν στους υπολογιστές τους, με αποτέλεσμα την ευρεία κλοπή διαπιστευτηρίων σύνδεσης, δεδομένων προγράμματος περιήγησης και πληροφοριών πορτοφολιού κρυπτονομισμάτων.
Η καμπάνια έχει τραβήξει την προσοχή των ερευνητών ασφαλείας παγκοσμίως λόγω της αυξανόμενης κλίμακας και του στοχευμένου χαρακτήρα της.
Η άνοδος του Vidar δεν έγινε από τη μια μέρα στην άλλη. Καθ’ όλη τη διάρκεια του 2025, οι διεθνείς επιχειρήσεις επιβολής του νόμου εξάρθρωσαν την υποδομή δύο ευρέως χρησιμοποιούμενων κλεφτών πληροφοριών, των Lumma και Rhadamanthys.
Καθώς αυτές οι πλατφόρμες κατέρρευσαν, οι εγκληματίες του κυβερνοχώρου αναζήτησαν γρήγορα μια αξιόπιστη εναλλακτική. Οι χειριστές της Vidar είδαν την ευκαιρία και κυκλοφόρησαν την έκδοση 2.0 του Vidar τον Οκτώβριο του 2025, εισάγοντας ισχυρότερες δυνατότητες και βελτιωμένες τεχνικές αποφυγής.
Από τότε, η Vidar κατατάσσεται σταθερά ως ο κορυφαίος κλέφτης στη ρωσική αγορά, με βάση τον όγκο των κλεμμένων κορμών που ανεβαίνουν κάθε μήνα.
Οι αναλυτές της Intrinsec εντόπισαν μια πλήρη αλυσίδα θανάτωσης κατά τη διερεύνηση ενός συμβιβασμού της Vidar που επηρέασε έναν εταιρικό υπάλληλο σε έναν από τους οργανισμούς πελατών τους.
Η ανάλυσή τους έδειξε ότι η επίθεση ξεκίνησε με ένα βίντεο στο YouTube που διαφήμιζε ένα ψεύτικο εργαλείο λογισμικού που ονομάζεται NeoHub.
Το θύμα βρήκε έναν σύνδεσμο προς το αρχείο, ανακατευθύνθηκε μέσω ενός ιστότοπου κοινής χρήσης αρχείων και κατέληξε να κατεβάσει ένα κακόβουλο αρχείο από το Mediafire.
Η όλη διαδικασία έμοιαζε με κανονική εγκατάσταση λογισμικού. Ο αντίκτυπος εκτείνεται πολύ πέρα από έναν παραβιασμένο υπάλληλο. Το Vidar έχει υιοθετηθεί από ένα ευρύ φάσμα παραγόντων απειλών, από μεμονωμένους οπορτουνιστές έως οργανωμένες ομάδες όπως η Scattered Spider.
Η CISA δημοσίευσε μια συμβουλευτική για την ασφάλεια που κατονομάζει το Vidar μεταξύ των εργαλείων που χρησιμοποιεί αυτή η ομάδα. Τα κλεμμένα διαπιστευτήρια πωλούνται στη συνέχεια στη ρωσική αγορά, θέτοντας σε σοβαρό κίνδυνο τα εταιρικά δίκτυα και τους εσωτερικούς λογαριασμούς.
.webp)
Το κακόβουλο λογισμικό στοχεύει τους Chrome, Firefox, Edge, Opera, Vivaldi, Waterfox και Palemoon, συλλέγοντας κωδικούς πρόσβασης, cookies, δεδομένα πιστωτικών καρτών και αρχεία πορτοφολιού κρυπτονομισμάτων.
Ο μηχανισμός μόλυνσης: Μια προσεκτικά σκηνοθετημένη επίθεση
Η αλυσίδα kill-chain πίσω από αυτήν την καμπάνια έχει δημιουργηθεί για να αποφευχθεί η υποψία από την αρχή μέχρι το τέλος. Αφού το θύμα κατεβάσει το αρχείο από το Mediafire, του παρουσιάζεται αυτό που φαίνεται να είναι ένα τυπικό πακέτο λογισμικού.
.webp)
Το πιο ορατό αρχείο είναι το NeoHub.exe, το οποίο μοιάζει με ένα κανονικό πρόγραμμα εγκατάστασης. Στην πραγματικότητα, αυτό το εκτελέσιμο φορτώνει κρυφά ένα δεύτερο αρχείο με το όνομα msedge_elf.dll, το οποίο φέρει το πραγματικό ωφέλιμο φορτίο Vidar.
.webp)
Μαζί, και τα δύο αρχεία λειτουργούν συγχρονισμένα για την αθόρυβη εκκίνηση της μόλυνσης. Το αρχείο msedge_elf.dll δημιουργήθηκε για να μιμείται ένα γνήσιο στοιχείο προγράμματος περιήγησης Microsoft Edge, καθιστώντας πιο δύσκολο τον εντοπισμό κατά τη διάρκεια μιας γρήγορης αναθεώρησης.
Για να προσθέσετε ένα άλλο επίπεδο αξιοπιστίας, το αρχείο υπογράφηκε χρησιμοποιώντας ένα ψεύτικο πιστοποιητικό υπογραφής κώδικα. Η πρώτη έκδοση υποδύθηκε το GitHub με το όνομα “githab.com”, και μια μεταγενέστερη έκδοση υποδύθηκε το grow.com.
.webp)
Και τα δύο πιστοποιητικά ήταν συνδεδεμένα με πολλά άλλα κακόβουλα αρχεία, υποδεικνύοντας είτε έναν κοινόχρηστο παράγοντα απειλής είτε μια υπηρεσία τρίτου μέρους που δημιουργεί πλαστές υπογραφές.
Το κακόβουλο DLL συσκευάζεται χρησιμοποιώντας έναν συσκευαστή που βασίζεται σε GO με ασυνήθιστα ονόματα ενοτήτων και έλεγχο ροής ισοπέδωσης. Αυτή η μέθοδος σπάει σκόπιμα τη φυσική δομή του κώδικα, καθιστώντας πολύ δύσκολη την εξέταση των εργαλείων ασφαλείας και των αναλυτών.
Μόλις εκτελεστεί στον υπολογιστή του θύματος, το Vidar χρησιμοποιεί ένα Dead Drop Resolver για να εντοπίσει τον διακομιστή εντολών και ελέγχου του. Αντί να κωδικοποιεί μια διεύθυνση C2, το κακόβουλο λογισμικό κρύβει την πραγματική θέση διακομιστή μέσα στα δημόσια προφίλ Steam και στα κανάλια Telegram, δίνοντας στους εισβολείς τη δυνατότητα να περιστρέφουν την υποδομή γρήγορα χωρίς να ενημερώνουν το ίδιο το κακόβουλο λογισμικό.
Οι οργανισμοί θα πρέπει να εκπαιδεύουν τους υπαλλήλους να αποφεύγουν τη λήψη λογισμικού μέσω συνδέσμων βίντεο YouTube ή άγνωστων ιστότοπων κοινής χρήσης αρχείων. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) θα πρέπει να είναι ενεργοποιημένος σε όλους τους λογαριασμούς που συνδέονται με το πρόγραμμα περιήγησης για να μειωθεί ο κίνδυνος κλοπής διαπιστευτηρίων.
Συνιστάται στις ομάδες ασφαλείας να αποκλείουν κακόβουλους τομείς και διευθύνσεις IP χρησιμοποιώντας δημοσιευμένους δείκτες συμβιβασμού και να ρυθμίζουν την παρακολούθηση δικτύου για να εντοπίζουν ασυνήθιστες εξερχόμενες συνδέσεις σε άγνωστους διακομιστές C2.
Οι ασφαλείς πύλες Ιστού και το φιλτράρισμα DNS μπορούν να σταματήσουν τις κακόβουλες ανακατευθύνσεις προτού φτάσουν στους χρήστες. Το sandboxing των ληφθέντων αρχείων πριν από την εκτέλεση προσθέτει ένα κρίσιμο επίπεδο άμυνας.
VIA: cybersecuritynews.com
