Los actores de amenazas detrás de la Programa malicioso de Vidar han realizado cambios en su infraestructura de back-end, lo que indica intentos de reorganizar y ocultar su rastro en línea en respuesta a las divulgaciones públicas sobre su modus operandi.
«Los actores de amenazas de Vidar continúan rotando su infraestructura IP de back-end, favoreciendo a los proveedores en Moldavia y Rusia», dijo la compañía de ciberseguridad Team Cymru en un nuevo análisis compartido con The Hacker News.
Vidar es un ladrón de información comercial que se sabe que está activo desde finales de 2018. También es una bifurcación de otro malware ladrón llamado Arkei y se ofrece a la venta entre $130 y $750 dependiendo del nivel de suscripción.
Normalmente entregado a través de campañas de phishing y sitios que anuncian software descifrado, el malware viene con una amplia gama de capacidades para recopilar información confidencial de hosts infectados. También se ha observado que Vidar se distribuye a través de anuncios falsos de Google y un cargador de malware denominado Bumblebee.
Equipo Cymru, en un informe publicado a principios de enero, señaló que «los operadores de Vidar han dividido su infraestructura en dos partes: una dedicada a sus clientes habituales y la otra para el equipo de gestión, y también para usuarios potencialmente premium/importantes».
Un dominio clave utilizado por los actores de Vidar es my-odin[.]com, que sirve como destino único para administrar el panel, autenticar afiliados y compartir archivos.
Si bien anteriormente era posible descargar archivos del sitio sin ninguna autenticación, realizar la misma acción ahora redirige al usuario a una página de inicio de sesión. Otro cambio implica actualizaciones de la dirección IP que aloja el propio dominio.
Esto incluye pasar de 186.2.166[.]15 al 5.252.179[.]201 al 5.252.176[.]49 a fines de marzo de 2023, y los actores de amenazas accedieron a este último utilizando servidores VPN casi al mismo tiempo.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«Al usar la infraestructura de VPN, que al menos en parte también fue utilizada por muchos otros usuarios benignos, es evidente que los actores de amenazas de Vidar pueden estar tomando medidas para anonimizar sus actividades de gestión ocultándose en el ruido general de Internet», señaló Team Cymru.
La empresa de ciberseguridad dijo que también detectó conexiones salientes desde 5.252.176[.]49 a un sitio web legítimo llamado blonk[.]co así como un anfitrión ubicado en Rusia (185.173.93[.]98:443).
Se descubrió que la infraestructura de Vidar recibió otro lavado de cara a partir del 3 de mayo de 2023, con la introducción de una nueva dirección IP 185.229.64[.]137 alojando el my-odin[.]com junto con el uso de relés TOR por parte de los operadores para acceder a sus cuentas y repositorios de malware.
Los hallazgos «ofrecen una mayor comprensión de la operación ‘detrás de escena’ de Vidar, lo que demuestra la evolución de su infraestructura de gestión, así como evidencia de los pasos tomados por los actores de amenazas para potencialmente cubrir sus huellas», dijo la compañía.