Olarak bilinen kötü şöhretli bilgi hırsızı Vidar ara komut ve kontrol (C2) sunucusu olarak TikTok, Telegram, Steam ve Mastodon gibi popüler sosyal medya hizmetlerinden yararlanmaya devam ediyor.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) teknik bir analizde, “Bir kullanıcı çevrimiçi bir platformda bir hesap oluşturduğunda, herkesin erişebileceği benzersiz bir hesap sayfası oluşturulur.” yayınlanan geçen ayın sonlarında “Tehdit aktörleri, bu sayfanın bazı bölümlerinde tanımlayıcı karakterler ve C2 adresini yazıyor.”
Başka bir deyişle, teknik, C2 adresini almak için sosyal medyada oluşturulan aktör kontrollü kullan-at hesaplarına dayanır.
Bu yaklaşımın bir avantajı, C2 sunucusunun kapatılması veya engellenmesi durumunda, saldırganın yeni bir sunucu kurarak ve önceden dağıtılan kötü amaçlı yazılımın sunucuyla iletişim kurmasına izin vermek için hesap sayfalarını düzenleyerek kısıtlamaları önemsiz bir şekilde aşabilmesidir.
İlk olarak 2018 yılında tanımlanan Vidar, bir reklam satışa hazır kötü amaçlı yazılım bu, güvenliği ihlal edilmiş ana bilgisayarlardan çok çeşitli bilgileri toplama yeteneğine sahiptir. Genellikle yayılma için kimlik avı e-postaları ve crackli yazılımlar gibi dağıtım mekanizmalarına dayanır.
ASEC araştırmacıları, “Bilgi toplama tamamlandıktan sonra, zorla alınan bilgiler bir ZIP dosyasına sıkıştırılır, Base64’te kodlanır ve C2 sunucusuna iletilir.”
Kötü amaçlı yazılımın en son sürümündeki (sürüm 56.1) yeni olan şey, toplanan verilerin, sıkıştırılmış dosya verilerini düz metin biçiminde gönderdiği bilinen önceki varyantlardan farklı olarak, dışarı sızmadan önce kodlanmasıdır.
Araştırmacılar, “Vidar, aracı C2 olarak ünlü platformları kullandığı için uzun bir kullanım ömrüne sahip” dedi. “Altı ay önce oluşturulan bir tehdit aktörünün hesabı hâlâ korunmakta ve sürekli olarak güncellenmektedir.”
Geliştirme, kötü amaçlı yazılımın, kötü niyetli Google Ads ve kötü amaçlı yazılım yükleyici adlı bir kötü amaçlı yazılım yükleyici dahil olmak üzere çeşitli yöntemler kullanılarak dağıtıldığına dair son bulguların ortasında geldi. yaban arısıikincisi, Egzotik Lily olarak izlenen bir tehdit aktörüne atfedilir ve Projektör Terazi.
Risk danışmanlığı şirketi Kroll, bir analiz geçen ay yayınlanan bir GIMP açık kaynak resim düzenleyici reklamı keşfettiğini ve bu reklamın, Google arama sonucundan tıklandığında kurbanı Vidar kötü amaçlı yazılımını barındıran yazım hatası yapılmış bir alana yönlendirdiğini söyledi.
Tehdit ortamındaki kötü amaçlı yazılım dağıtım yöntemlerinin gelişimi, kısmen Microsoft’un Temmuz 2022’den bu yana internetten indirilen Office dosyalarındaki makroları varsayılan olarak engelleme kararına bir yanıttır.
Bu, Mark of the Web (MotW) korumalarını atlamak ve kötü amaçlı yazılıma karşı tarama önlemlerinden kaçınmak için e-posta eklerinde ISO, VHD, SVG ve XLL gibi alternatif dosya biçimlerinin kötüye kullanılmasında bir artışa yol açtı.
ASEC araştırmacıları, “Disk görüntü dosyaları MotW özelliğini atlayabilir çünkü içlerindeki dosyalar çıkarıldığında veya birleştirildiğinde, MotW dosyalara miras kalmaz.” dedimkötü amaçlı yazılımı başlatmak için HTML kaçakçılığı ve VHD dosyasının bir kombinasyonundan yararlanan bir Qakbot kampanyasını detaylandırıyor.
