信息化觀察網(wǎng)

網(wǎng)絡安全公司Malwarebytes在上周五（1月4日）發(fā)表的一篇博文中指出，在過去的幾周里，他們一直在追蹤一起多產(chǎn)的惡意廣告活動，并捕獲了多種payload（有效載荷），包括幾個信息竊取病毒。其中，最初被他們確認為“Arkei”的信息竊取病毒在最近被證實其實是“Vidar”，這得益于安全研究員“Fumik0_”在一篇題為《Let’s dig into Vidar–An Arkei Copycat/Forked Stealer(In-depth analysis)》的文章中對這款新型惡意軟件的詳細分析。

Vidar（維達）是北歐神話中的森林之神，也是眾神之父Odin（奧?。┑膬鹤印Ｔ趭W丁死后，維達揚言要為父報仇。不過，“The Silent One（沉默者）”這個名字似乎更適合這個信息竊取病毒，因為它可以從瀏覽器歷史（包括Tor瀏覽器）和加密貨幣錢包中竊取信息，包括竊取即時消息會話等。

在這起惡意廣告活動中，攻擊者使用了Fallout漏洞利用工具包來傳播Vidar。但實際上，這起活動最值得關注的應該是被用作第二階段payload的GandCrab勒索軟件。

感染鏈分析

Malwarebytes的研究人員表示，一個惡意廣告鏈接讓他們首先發(fā)現(xiàn)了Fallout漏洞利用工具包，然后才是最初被他們確認為“Arkei”的信息竊取病毒。經(jīng)過仔細觀察，雖然這個樣本確實與Arkei存在很多相似之處（包括惡意廣告活動本身），但它實際上是一種在當時未被公開報道過的新型惡意軟件，目前已被標識為“Vidar”。

除了Vidar的信息竊取能力之外，研究人員還注意到Vidar的命令和控制（C2）服務器上還托管有另一個payload。從感染的時間上來看，受害者的設備首先是感染了試圖竊取敏感信息的Vidar，然后才遭到了GandCrab勒索軟件的入侵。

惡意廣告和Fallout漏洞利用工具包

我們都知道，種子搜索網(wǎng)站和流媒體視頻網(wǎng)站往往擁有很高的訪問量，而出現(xiàn)在這些網(wǎng)站上的廣告往往都具有不同程度的惡意性，并且沒有受到有力的監(jiān)管。在這起惡意廣告活動中，攻擊者使用惡意廣告域?qū)⑦@些網(wǎng)站的訪問者重定向到了至少兩個不同的漏洞利用工具包（Fallout EK和GrandSoft EK），前者是目前最為活躍的。

雖然像AZORult這樣的信息竊取病毒似乎是目前最主流的payload，但研究人員注意到Arkei/Vidar也很常見。這起活動中，研究人員就看到了Vidar正在通過Fallout漏洞利用工具包進行傳播。

Vidar分析

值得注意的是，Vidar是一種已經(jīng)商品化的惡意軟件，因此研究人員表示他們目前還無法確認這起活動背后的攻擊者具體是誰。

Vidar的購買者可以通過配置文件來生成自定義的信息竊取病毒版本，比如設置自己感興趣的數(shù)據(jù)類型。除了通常存儲在應用程序中的信用卡號碼和其他密碼之外，Vidar還可以竊取有關數(shù)字錢包的信息。

在受感染系統(tǒng)上執(zhí)行時，Vidar將搜索其配置文件中指定的數(shù)據(jù)，并通過未加密的HTTP POST請求將這些數(shù)據(jù)發(fā)送到C2服務器。

這包括系統(tǒng)的詳細信息（規(guī)格、正在運行的進程和已安裝的應用程序）以及存儲在名為“information.txt”的文件中的受害者的個人信息（IP地址、國家/地區(qū)、城市和ISP），這個文件將與其他數(shù)據(jù)一起打包并壓縮后被發(fā)送到C2服務器。

被用作第二階段payload的GandCrab

如上所述，Vidar還可以通過其C2服務器下載其他惡意軟件。在這起惡意廣告活動中，被用作第二階段payload的惡意軟件是GandCrab V5.04。

在感染Vidar后大約一分鐘內(nèi)，受害者的文件將會被加密，桌面壁紙將被替換為GandCrab V5.04的贖金票據(jù)。

Vidar+GandCrab，給受害者帶來雙重打擊

雖然勒索軟件在2018年的出現(xiàn)頻率似乎有所放緩，但它仍然是最主要的網(wǎng)絡安全威脅之一。與許多其他類型的惡意軟件相比，無論受害者最終是否會支付贖金，勒索軟件造成的影響都非常嚴重的。

此外，正如我們通過這起惡意廣告活動所看到的那樣，勒索軟件也可以與其他類型的惡意軟件結(jié)合起來使用。所造成的結(jié)果就是，受害者將受到雙重打擊——他們不僅會失去財務和個人信息，而且還會被勒索。