- A+
整个袭击发生在一分钟之内。
多重负载和正在进行的恶意广告活动正在分发新发现的信息窃取者以及GandCrab勒索软件。
信息窃取者被命名为Vidar,在北欧神Víðarr之后,他是神话中奥丁的儿子。 根据12月份发现的研究员Fumik0,Vidar窃取文件,cookie和浏览器历史记录(包括来自Tor),来自各种加密货币钱包的货币,来自2FA软件和短信的数据,以及它可以截取屏幕截图。 该软件包还为恶意软件运营商提供重要日志的电报通知。 最后,威胁参与者可以通过配置文件自定义窃取程序,这允许他们指定他们感兴趣的数据类型。
现在,研究人员已经观察到Vidar是通过Fallout漏洞利用工具包在二级GandCrab勒索软件之前发布的 - 作为积极的恶意广告活动的一部分。
上周 ,Malwarebytes研究员JérômeSegura在一篇文章中详细介绍说:“Torrent和流媒体视频网站带来大量流量,而且他们的广告往往具有侵略性和监管不力。” “使用流氓广告域名的恶意行为者将这些网站访问者根据其地理位置和来源重定向到至少两个不同的漏洞利用工具包(Fallout EK和GrandSoft EK),尽管前者是最活跃的。”
在其活动分析中,研究人员发现Vidar将搜索其配置文件配置中指定的任何数据,并立即通过未加密的HTTP POST请求将其发送回命令和控制(C2)服务器。 这包括高级系统详细信息(规范,运行进程和已安装的应用程序)以及存储在名为information.txt的文件中的受害者(IP地址,国家/地区,城市和ISP)的统计信息。 此文件与其他被盗数据一起打包并压缩后再发送回C2服务器。
之后,Vidar可以下载其他恶意软件 - 在这种情况下, GandCrab 。
“这被称为加载器功能,同样,它可以通过向有效载荷添加直接URL在Vidar的管理面板中进行配置,”Segura解释说。 “但是,并非所有Vidar实例(与配置文件ID相关联)都会下载额外的有效负载。 在这种情况下,服务器将发回'ok'而不是URL的响应。“
如果它下载勒索软件,受害者的文件将被加密并且机器的壁纸被劫持以显示GandCrab版本5.04的注释。 根据研究人员的说法,所有这一切都发生在最初的Vidar感染的一分钟内。
“威胁演员可以在他们的剧本中出于各种原因使用勒索软件,”塞古拉解释道。 “例如,它可能是一个简单的诱饵,其真正的目标是不可逆转地破坏系统而无法恢复丢失的数据。 但是正如我们在这里看到的那样,它可以与其他威胁结合使用,并在其他资源耗尽时用作最后一个有效载荷。“
因此,受害者不仅遭到抢劫,而且还遭到勒索以再次控制他们的档案。
“这种新型混合物的新颖和强大之处在于它建立感染路径的多方面努力 - 利用数字广告供应链来扩大其覆盖范围,两个漏洞利用工具包用新的数据窃取木马感染机器,然后是勒索软件将用户锁定在他们的机器之外,“媒体信托的数字安全和运营经理Mike Bittner通过电子邮件说道。
他补充说,为了避免无意中参与该计划,广告支持网站的运营商和所有者应确保他们的广告和网站没有恶意的第三方代码 - 他承认这是一项很高的要求。
“广告支持的网站可能有数百甚至数千个第三方代码,这些代码通常由未知的,不断变化的第三方代码提供商执行,”他说。 “但就像你监视谁进入你的家一样,你应该扫描广告和网站,以便识别并在必要时终止任何未经授权的代码。”
