Vidar infostealer: κλοπή κωδικών, cookies και crypto

Μια νέα, πολυσταδιακή εκστρατεία κακόβουλου λογισμικού που αξιοποιεί τον γνωστό info‑stealer Vidar έχει αναδυθεί και δείχνει πόσο εξελιγμένοι έγιναν πλέον οι μηχανισμοί συλλογής δεδομένων και απόκρυψης. Το Vidar, που πρωτοεμφανίστηκε στα τέλη του 2018 και βασίζεται σε τμήματα του κώδικα του Arkei, στοχεύει επιθετικά σε διαπιστευτήρια χρηστών, cookies προγραμμάτων περιήγησης, πορτοφόλια κρυπτονομισμάτων και λεπτομερή δεδομένα συστήματος. Η τελευταία εκδοχή της εκστρατείας χρησιμοποιεί εργαλεία scripting και νόμιμες υπηρεσίες για να συγκαλύψει την επικοινωνία με τους command‑and‑control (C2) servers, καθιστώντας την ανίχνευση εξαιρετικά δύσκολη.

Τι είναι το vidar και από πού ξεκίνησε

Το Vidar δεν είναι νέο· πρόκειται για έναν από τους πιο διαδεδομένους infostealers των τελευταίων ετών, με συνεχή εξέλιξη και επαναχρησιμοποίηση κώδικα από άλλα έργα τύπου malware. Η καταγωγή του συνδέεται με το Arkei, όμως αυτό που διαφοροποιεί το Vidar είναι ο πρακτικός συνδυασμός μαζικής συλλογής ευαίσθητων στοιχείων και τεχνικών απόκρυψης που απευθύνονται τόσο σε τέλεια εγκατεστημένα περιβάλλοντα όσο και σε τελικούς χρήστες χωρίς υψηλές δεξιότητες. Στην πράξη, οι δημιουργοί του αξιοποιούν κλασικές ανθρώπινες αδυναμίες —όπως η επιθυμία να «σπάσει» κάποιος ένα πρόγραμμα με χρήση hacktools— αντί για σύνθετες εκμεταλλεύσεις συστημάτων.

Αλυσίδα μόλυνσης: από το hacktool έως το memory‑only payload

Η αλυσίδα μόλυνσης που παρατηρήθηκε ξεκινά όταν ένας χρήστης εκτελεί ένα φαινομενικά ακίνδυνο αρχείο όπως το MicrosoftToolkit.exe, ένα ευρέως χρησιμοποιούμενο εργαλείο ενεργοποίησης λογισμικού που καταχράται συχνά σε τέτοιου είδους επιθέσεις. Αντί να εκμεταλλευτεί ευπάθειες, το σενάριο βασίζεται στην εθελοντική εκτέλεση από τον χρήστη: το εκτελέσιμο ανοίγει ένα command shell και ξεκινά τη φάση της σταδιοποίησης.

Στη συνέχεια, το κακόβουλο πρόγραμμα μετονομάζει και εκτελεί ένα αρχείο που εμφανίζεται αρχικά ως swingers.dot, αλλά μετατρέπεται σε batch script για να παρακάμψει απλούς ελέγχους τύπου αρχείου. Περαιτέρω στοιχεία εξάγονται με χρήση του extract32.exe από πολλαπλά .dot αρχεία και στη μέση αυτής της διαδικασίας βρίσκεται ένα AutoIt‑συμπιεσμένο δυαδικό με το όνομα Replies.scr. Αυτό το στοιχείο λειτουργεί ως loader/builder: διαβάζει ένα κρυπτογραφημένο εξωτερικό payload στη μνήμη, το αποκρυπτογραφεί και το εκτελεί χωρίς να αφήνει μόνιτορα αρχείο στον δίσκο.

Χρήση AutoIt και νόμιμων εργαλείων ως μάσκα

Η επιλογή του AutoIt ως τεχνικής μεταμφίεσης δεν είναι τυχαία. Το AutoIt είναι μια πραγματική γλώσσα scripting για αυτοματισμό στα Windows και τα compiled scripts της φαίνονται νομίμως στην πλατφόρμα, γεγονός που δυσκολεύει τη διακριτική σηματοδότηση από παραδοσιακά antivirus. Επιπλέον, το loader ελέγχει το runtime περιβάλλον για σημάδια ανάλυσης —π.χ. χρησιμοποιεί κλήσεις όπως ZwQueryInformationProcess για να διαπιστώσει αν τρέχει debugger ή αν έχουν τοποθετηθεί callbacks από EDR λύσεις— και αλλάζει συμπεριφορά ή παγώνει αν εντοπίσει έλεγχο.

Μέθοδοι απόκρυψης και περιορισμός ψηφιακών ίχνών

Κατά τη διάρκεια της σταδιοποίησης, το malware εκτελεί εντολές όπως tasklist.exe και findstr.exe για να εντοπίσει και να προσπαθήσει να τερματίσει διεργασίες ασφαλείας. Μετά την εξαγωγή και αποστολή των δεδομένων, ακολουθεί εκτεταμένος καθαρισμός: αλλαγή attributes σε αρχεία .dot, συστηματική διαγραφή των δισκογραφημένων αρχείων, απελευθέρωση δομών μνήμης και τελική έξοδος με RtlExitUserProcess. Αυτή η ικανότητα αυτοκαταστροφής μειώνει σημαντικά τα forensics artifacts και δυσχεραίνει την αναδρομική διερεύνηση.

Επικοινωνία με C2 μέσω υπηρεσιών «εμπιστοσύνης»

Ένα από τα πιο έξυπνα χαρακτηριστικά της πρόσφατης εκστρατείας είναι η χρήση νόμιμων ιστοτόπων ως «dead‑drop resolvers». Το Vidar χρησιμοποιεί WinINet APIs για να ανακτήσει ρυθμίσεις και οδηγίες από δημόσια διαθέσιμες σελίδες, κατασκευάζοντας HTTP GET αιτήματα προς συγκεκριμένα προφίλ σε Telegram και Steam Community. Με αυτόν τον τρόπο, η εξαγωγή και η επικοινωνία του C2 συγχωνεύονται με κανονική web κίνηση, γεγονός που περιπλέκει τόσο τη δίκτυα ανίχνευση όσο και τον εντοπισμό από firewalls και IDS. Επιπλέον, το malware ελέγχει το DNS μέσω δημόσιων υπηρεσιών όπως το Google DNS για να επιλύσει δυναμικά domain names πριν ανοίξει ευρύτερες συνδέσεις.

Τι κλέβει και γιατί έχει σοβαρές συνέπειες

Το εύρος των στοιχείων που στοχεύονται είναι ανησυχητικό: κωδικοί πρόσβασης αποθηκευμένοι σε browsers και εφαρμογές, cookies συνεδριών που μπορούν να παρακάμψουν 2FA σε ορισμένες περιπτώσεις, αρχεία πορτοφολιών κρυπτονομισμάτων και πληθώρα συστημικών πληροφοριών (hardware IDs, εγκατεστημένο λογισμικό, διαδικασίες). Η συνδυαστική χρήση cookies και κωδικών δημιουργεί σοβαρό ρίσκο account takeover, ενώ τα πορτοφόλια crypto που αποθηκεύονται σε λογισμικά wallets γίνονται εύκολος στόχος για άμεση κλοπή κεφαλαίων. Επιπλέον, τα συλλεγόμενα συστημικά δεδομένα επιτρέπουν στους επιτιθέμενους να κλιμακώσουν την επίθεση ή να στοχεύσουν συγκεκριμένες υπηρεσίες μέσα στο δίκτυο.

Συγκρίσεις με άλλους stealers

Στην οικογένεια των infostealers, το Vidar μοιράζεται χαρακτηριστικά με εργαλεία όπως RedLine, Raccoon και Agent Tesla, αλλά ξεχωρίζει για την ενσωμάτωση AutoIt loaders και τη συστηματική χρήση νόμιμων υπηρεσιών για C2. Άλλα stealers μπορεί να βασίζονται περισσότερο σε packers, crypters ή brokers για διανομή, ενώ το Vidar επενδύει στην ασφάλεια της επικοινωνίας και στον περιορισμό αποτυπωμάτων στο δίσκο, προσφέροντας μια πιο «memory‑centric» προσέγγιση που δυσκολεύει την παραδοσιακή ανάλυση.

Τι μπορούν να κάνουν οι χρήστες και οι οργανισμοί

Η απλούστερη και πιο αποτελεσματική γραμμή άμυνας είναι η αποφυγή εκτέλεσης μη επίσημου λογισμικού και «κρακ» ενεργοποίησης. Η κοινωνική μηχανική παραμένει ο συνηθέστερος τρόπος εισόδου. Σε επίπεδο χρήστη, συστήνεται η χρήση password managers αντί αποθήκευσης κωδικών στον browser, η ενεργοποίηση πολυπαραγοντικής ταυτοποίησης όπου είναι δυνατόν —κατά προτίμηση με hardware‑based 2FA— και η χρήση hardware wallets για μεγάλα ποσά κρυπτονομισμάτων. Για οργανισμούς, η απαίτηση είναι για πολυεπίπεδες λύσεις: endpoints με EDR που μπορούν να καταγράψουν μνήμη, NAT/DNS φίλτρα που μπλοκάρουν γνωστά C2 domains, κανόνες που περιορίζουν τη δυνατότητα εκτέλεσης AutoIt‑generated binaries και πολιτικές περιορισμένων δικαιωμάτων στους τελικούς χρήστες.

Ανίχνευση, απόκριση και πρακτικές για forensic

Η απομόνωση μολύνσεων από Vidar απαιτεί προσαρμοσμένα playbooks. Επειδή οι loaders και τα κύρια payloads μπορούν να τρέξουν αποκλειστικά στη μνήμη, είναι κρίσιμο τα EDR/EDR‑like εργαλεία να συλλέγουν και να προφυλάσσουν dumps μνήμης πριν τον καθαρισμό διεργασιών. Οι παρακάτω ενδείξεις μπορούν να βοηθήσουν στην ανίχνευση: αιτήματα HTTP σε προφίλ Telegram ή Steam Community, ασυνήθιστες κλήσεις σε WinINet, επανειλημμένη χρήση tasklist.exe και findstr.exe από άγνωστες διεργασίες, καθώς και αυτοκαταστροφικές ενέργειες που χρησιμοποιούν RtlExitUserProcess. Τα αρχεία καταγραφής δικτύου, τα memory artifacts και οι snapshots από τα endpoints είναι απαραίτητα για μια αξιόπιστη διερεύνηση. Σε επίπεδο κανόνων, κανόνες YARA/Sigma για AutoIt signatures και για υπογραφές αποκρυπτογραφημένων payloads μπορούν να βελτιώσουν την πρόωρη ανίχνευση.

Πρακτικά δείγματα iocs (defanged)

• SHA‑256: fc27479ff929d846e7c5c5d147479c81e483a2ec911bd1501a53aa646a29620d (MicrosoftToolkit.exe)
• SHA‑256: d4fe9f48178cdf375a3be30d17f1dc016b5861dff8683f0bb35a0ba8d44f892f (swingers.dot.bat)
• SHA‑256: 968ecf51c442ec0ff91f91689ac524e7e8e9eab0c1a2a65cf13e54cf95194efe (Replies.scr)
• IP: 149.154.167[.]99 (Vidar‑associated C2)
• Domains (defanged): telegram[.]me, gz[.]technical, prorj[.]xyz

Οι δείκτες αυτοί είναι χρήσιμοι για συστήματα threat intelligence, αλλά θα πρέπει πάντα να χρησιμοποιούνται με προσοχή σε ελεγχόμενα περιβάλλοντα όπως SIEM ή MISP, καθώς η επανα‑fanging μπορεί να προκαλέσει ακούσια σύνδεση με κακόβουλους servers.

Ελληνικό και ευρωπαϊκό πλαίσιο

Στο ελληνικό και ευρωπαϊκό νομικό περιβάλλον, παραβιάσεις δεδομένων που προκύπτουν από τέτοιες εκστρατείες εμπίπτουν στα πλαίσια ειδοποίησης και συμμόρφωσης υπό τον GDPR και τον νέο κανονισμό NIS2 για την ασφάλεια των δικτύων και πληροφοριακών συστημάτων. Οποιαδήποτε υποκλοπή προσωπικών δεδομένων ενδέχεται να απαιτήσει ειδοποίηση στις αρμόδιες αρχές εντός συγκεκριμένων χρονικών ορίων και, σε πολλές περιπτώσεις, ενημέρωση των επηρεαζόμενων φυσικών προσώπων. Επιπλέον, οι ελληνικές επιχειρήσεις που παρέχουν κρίσιμες υπηρεσίες πρέπει να ενισχύσουν τις διαδικασίες incident response και να συμμετέχουν σε κοινές πλατφόρμες ανταλλαγής threat intelligence με δημόσιο και ιδιωτικό τομέα.

Γιατί έχει σημασία

Η συγκεκριμένη εκστρατεία του Vidar επιβεβαιώνει μια θεμελιώδη τάση: οι επιτιθέμενοι μετακινούνται από απλές μαζικές επιθέσεις σε στοχευμένες, πολυσταδιακές επιχειρήσεις που εκμεταλλεύονται τόσο τεχνικά όσο και ανθρώπινα αδύναμα σημεία. Η χρήση νόμιμων υπηρεσιών ως κανάλια επικοινωνίας και ο προσεκτικός καθαρισμός ιχνών δείχνουν ότι οι εγκληματίες του κυβερνοχώρου επενδύουν σε τεχνικές που μειώνουν την έκθεσή τους. Αυτό σημαίνει πως η άμυνα πρέπει να γίνει περισσότερο συστημική: όχι μόνο antivirus, αλλά έλεγχοι συμπεριφοράς, επαγρύπνηση δικτύου, εκπαίδευση χρηστών και ταχεία συνεργασία μεταξύ οργανισμών και αρχών.

Σε τελική ανάλυση, η πρόληψη ξεκινά από την καθημερινή πρακτική: απαγόρευση χρήσης μη επιβεβαιωμένων εργαλείων, τακτική ενημέρωση συστημάτων, χρήση password managers και hardware 2FA, και επένδυση σε EDR/EDR‑like τεχνολογίες που καταγράφουν μόχλευση μνήμης και ασυνήθιστες κλήσεις API. Τα incident response plans πρέπει να προβλέπουν μνήμη‑κεντρικές αναλύσεις και να έχουν διαδικασίες για άμεσο μπλοκάρισμα domain/IP που χρησιμοποιούνται ως C2. Ο βαθμός ετοιμότητας θα καθορίσει πόσο επιτυχής θα είναι η άμυνα απέναντι σε αυτές τις εξελισσόμενες απειλές.