Vidarとは【用語集詳細】
Vidarは2018年に出現したインフォスティーラー型マルウェアです。標的システムからクレジットカード番号、アカウント情報、ファイル、スクリーンショット、仮想通貨ウォレットなど様々な情報を窃取します。
Infoblox社のリサーチによれば、このマルウェアはダークウェブフォーラム上で250USDで販売されています。
フィッシングメールや本物そっくりに作られた偽サイト(AnyDesk等)、海賊版ソフトへの混入等を通じてホストに感染し、様々な情報を窃取します。
現在も運用方法の改善や挙動の改良が進められており、Google Adを用いたマルバタイジングや、Bumblebeeを用いた配送例も存在します。
このマルウェアは、セキュリティ製品やシステム管理者によるブロックを回避する目的で、TelegramやInstagram、TikTok、Mastodon、Steam、Dropboxといった著名なプラットフォームを中間C2サーバーとして利用することが確認されています。侵害システムにおいて実行されたマルウェアは、脅威アクターが作成したSNS等のアカウントにアクセスし、そこからC2サーバーへ接続し、悪意ある動作を実行します。
上に列挙したようなプラットフォームは、新規アカウントを作成することが容易です。このためアカウントが削除されたとしても脅威アクターは速やかに別のアカウントを作成し、C2サーバーへの中継点として運用することが可能です。
他に、セキュリティ製品のサンドボックス環境を検知した場合は動作を停止します。
Vidarは収集したデータをBase64でエンコードし、Zipファイルで圧縮した後、C2サーバーに転送します。
