Falsk Bitdefender webside leverer Vidar datatyv
IT-kriminelle har oprettet et domæne som fungerer som fluepapir på internet søgninger efter "Bitdefender". Det kender man også som blackhat SEO (Search Engine Optimization).
Vidar er en russisk udviklet MaaS (Malware as a Service) som sælges via de sædvanlige blackhatfora og Telegram.
Domænet, som tjener formålet at lokke uforsigtige brugere til at kører Vidar stealer er: (saniteret)
https://bitdefender-app[.]com
Det er hostet bag Cloudflare.
Se skærmdump herunder af den falske Bitdefender webside som leverer den skadelige Vidar Stealer istedet for den lovede gratis version af Bitdefender antivirus til windows:
Download knappen tilbyder en installationspakke fra samme webside (saniteret)
https://bitdefender-app[.]com/dist/install-win-x64-x86.exe
Som hvis downloades og køres vil droppe Vidar Stealer (Microclip) til windows maskinen som injektes i forskellige legitime systemprocesserm, herunder Google "chrome.exe" og flytter trafik hen til en falsk McAfee side der fortæller at maskinen er virusfri. Det sker via (saniteret):
https://syntheti[.]cc
Der så flytter trafik ind på en falsk McAfee side (saniteret):
https://wind-d5y14nuvlg.errolandtessa[.]com
Russisk supporteret Malware as a Service (MaaS)
Vidar
er en klassisk datatyv og en videreudvikling af "Arkei" der også er
en datatyv. Den seneste version er 8.5. og programmet er udviklet i
C++. Alle nye funktionsopdateringer og support foregår på russisk:
Denne Vidar variant gør brug af følgende konfiguration:
Konfigurationen er base64 kodet og dernæst RC4 krypteret.
URL-forkorter adressen oversættes til (saniteret):
https://157.90.25[.]39:5432 og Telegram kontoen "«de17fs»"
Steamprofilen som fremgår i konfigurationen peger videre på (saniteret)
https://65.109.140[.]8
Omfattende datatyveri
Hvis Vidar stealer lander på en windows maskine vil den automatisk høste data fra følgende software og datalokationer:
- Chrome/Firefox/Opera (passwords, kreditkort, cookies og historik)
- Sværm af forskellige cryptowallets
- SMTP og IMAP data
- Passwords til CMS systemer som Wordpress
- CPANEL passwords
- Outlook
- Signal Messenger
- Discord og Telegram tokens
- Steam ssfn filer og konfiguration
- WinSCP og Filezilla
- qtox og Pidgin konfiguration
Grabber funktionen i Vidar henter desuden filer fra følgende mapper:
- %DESKTOP%
- C:\Users\<username>\Documents
- %DRIVE_FIXED% (alle tilgængelige drev)
- %DRIVE_REMOVABLE% (flybare drev)
- %USERPROFILE%
- %APPDATA%
- %LOCALAPPDATA%
- C:\Program Files (x86)
- C:\Program Files
- C:\Users\<username>\Recent
Den napper også andre oplysninger fra maskinen herunder ID, GUID og HWID:
SOFTWARE\Microsoft\Cryptography\MachineGuid, GetCurrentHwProfileA, GetVolumeInformationA.
Derfra gives der nemt adgang til alle indsamlede data via Vidar panelet som ser således ud: