Um malware conhecido como Vidar, ativo desde 2018, está voltando aos noticiários de segurança com uma campanha sofisticada que vai além do roubo tradicional de senhas. Pesquisadores da LevelBlue identificaram uma cadeia de infecção multiestágio projetada para contornar defesas modernas de segurança, focando na extração de credenciais de navegador, cookies de sessão, arquivos de carteiras de criptomoedas e dados sensíveis do sistema.
descoberta e escopo da campanha
A descoberta foi feita através de caça proativa a ameaças em um ambiente de cliente, onde a telemetria de endpoint e a análise dinâmica revelaram uma cadeia de processos mostrando mascaramento de script, extração de carga útil em estágios e comunicação de comando e controle. O ataque começa com uma ferramenta de ativação de software legítima, o MicrosoftToolkit.exe, que engana os usuários para que executem o arquivo sob a crença de que estão ativando software real. Essa abordagem orientada ao usuário reduz a necessidade de e-mails de phishing ou explorações de software, tornando a entrada inicial mais difícil para filtros de segurança tradicionais.
vetor e exploração técnica
Uma vez que a ferramenta é executada, um arquivo disfarçado chamado Swingers.dot é renomeado como um script de lote e executado, iniciando uma cadeia de comandos. O sistema verifica processos de segurança ativos, extrai componentes adicionais da carga útil e, eventualmente, executa um carregador compilado em AutoIt chamado Replies.scr. Conexões de saída para infraestrutura associada ao Vidar confirmam que a carga útil final foi implantada e está coletando dados ativamente. O malware usa plataformas públicas como Steam e Telegram como parte de sua configuração de comando e controle, disfarçando seu tráfego como atividade web comum.
evidências e limites da detecção
Uma das características mais notáveis desta campanha é o quão minuciosamente o malware cobre seus rastros após a execução. Uma vez que a extração da carga útil é concluída e os dados foram enviados, o MicrosoftToolkit.exe exclui todos os arquivos que soltou durante a execução, redefine os atributos dos arquivos, libera a memória associada e encerra seu próprio processo. Isso deixa muito pouco para os investigadores, tornando a resposta tradicional a incidentes muito mais difícil. O malware também verifica depuradores e ferramentas de monitoramento de segurança antes de prosseguir, usando funções de baixo nível do Windows para detectar ambientes de análise.
impacto e alcance
O Vidar foca em puxar informações que podem ser convertidas em ganho financeiro ou usadas para acessar outros sistemas. Mesmo uma única máquina infectada pode entregar aos atacantes uma quantidade significativa de informações utilizáveis. As consultas DNS observadas apontavam para gz.technicalprorj.xyz, resolvidas através de um servidor DNS público, sugerindo que os atacantes dependem de infraestrutura dinâmica para se manter à frente das listas de bloqueio.
medidas de mitigação recomendadas
A LevelBlue recomenda que qualquer sistema afetado seja isolado imediatamente da rede para interromper a perda de dados. A reimagem completa do sistema é fortemente recomendada dada a capacidade do malware de baixar cargas úteis adicionais. Todas as credenciais expostas, incluindo senhas de navegador, contas de e-mail, logins de VPN e contas de administrador, devem ser redefinidas e sessões ativas encerradas. A implementação de autenticação multifatorial em serviços críticos é igualmente importante. As organizações também devem monitorar o tráfego de saída e consultas DNS para conexões incomuns e restringir a execução de ferramentas não autorizadas para prevenir intrusões semelhantes.
indicadores de comprometimento (iocs)
Os seguintes hashes SHA256 e domínios foram identificados como indicadores de comprometimento nesta campanha:
- SHA256: fc27479ff929d846e7c5c5d147479c81e483a2ec911bd1501a53aa646a29620d (MicrosoftToolkit.exe)
- SHA256: d4fe9f48178cdf375a3be30d17f1dc016b5861dff8683f0bb35a0ba8d44f892f (swingers.dot.bat)
- SHA256: 978ad86c90d85b74947bb627ec24f8bcd26812b500e82f5af202160506ac29c6 (Beds.dot)
- SHA256: 881619a47b62b52305d92640cc4d4845a279c23a5a749413785fc8fcb0fdf7fb (replies.scr)
- IP: 149.154.167.99 (Vidar-associated C2 IP)
- Domínio: telegram[.]me (C2 domain)
- Domínio: gz[.]technicalprorj[.]xyz (Vidar-associated C2 domain)
perguntas frequentes
Como saber se meu sistema foi infectado? Verifique a existência dos arquivos mencionados nos IOCs e monitore o tráfego de saída para os domínios suspeitos. Devo reimager o sistema? Sim, devido à capacidade de limpeza do malware, a reimagem é a medida mais segura.