Les acteurs de la menace derrière le Logiciel malveillant Vidar ont apporté des modifications à leur infrastructure principale, indiquant des tentatives de réoutiller et de dissimuler leur piste en ligne en réponse aux divulgations publiques de leur modus operandi.
« Les acteurs de la menace Vidar continuent de faire tourner leur infrastructure IP backend, favorisant les fournisseurs en Moldavie et en Russie », a déclaré la société de cybersécurité Team Cymru. a dit dans une nouvelle analyse partagée avec The Hacker News.
Vidar est un voleur d’informations commerciales connu pour être actif depuis fin 2018. C’est aussi un fork d’un autre malware voleur appelé Arkei et est proposé à la vente entre 130 $ et 750 $ selon le niveau d’abonnement.
Généralement diffusé par le biais de campagnes de phishing et de sites faisant la publicité de logiciels piratés, le logiciel malveillant est doté d’un large éventail de fonctionnalités pour collecter des informations sensibles sur des hôtes infectés. Il a également été observé que Vidar était distribué via des annonces Google malveillantes et un chargeur de logiciels malveillants appelé Bumblebee.
L’équipe Cymru, dans un rapport publié début janvier, notait que « les opérateurs Vidar ont divisé leur infrastructure en deux parties ; l’une dédiée à leurs clients réguliers et l’autre à l’équipe de direction, ainsi qu’aux utilisateurs potentiellement premium/importants ».
Un domaine clé utilisé par les acteurs de Vidar est my-odin[.]com, qui sert de destination unique pour gérer le panneau, authentifier les affiliés et partager des fichiers.
Alors qu’auparavant il était possible de télécharger des fichiers depuis le site sans aucune authentification, effectuer la même action redirige désormais l’utilisateur vers une page de connexion. Un autre changement implique des mises à jour de l’adresse IP hébergeant le domaine lui-même.
Cela inclut le passage de 186.2.166[.]15 à 5.252.179[.]201 à 5.252.176[.]49 d’ici fin mars 2023, les acteurs de la menace accédant à ces derniers en utilisant des serveurs VPN à peu près au même moment.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« En utilisant l’infrastructure VPN, qui était également utilisée au moins en partie par de nombreux autres utilisateurs bénins, il est évident que les acteurs de la menace Vidar pourraient prendre des mesures pour anonymiser leurs activités de gestion en se cachant dans le bruit général d’Internet », a noté l’équipe Cymru.
La société de cybersécurité a déclaré avoir également détecté des connexions sortantes à partir de 5.252.176[.]49 à un site Web légitime appelé blonk[.]co ainsi qu’un hébergeur situé en Russie (185.173.93[.]98:443).
L’infrastructure Vidar s’est avérée recevoir un nouveau lifting à compter du 3 mai 2023, avec l’introduction d’une nouvelle adresse IP 185.229.64[.]137 hébergeant le my-odin[.]com ainsi que l’utilisation de relais TOR par les opérateurs pour accéder à leurs comptes et référentiels de logiciels malveillants.
Les résultats « fournissent un aperçu supplémentaire du fonctionnement » en coulisses « de Vidar, démontrant l’évolution de son infrastructure de gestion ainsi que des preuves des mesures prises par les acteurs de la menace pour potentiellement couvrir leurs traces », a déclaré la société.