Vidar Stealer 2.0 piyasaya sürüldü ve güncellenmiş bilgi hırsızı, gelişmiş kimlik bilgisi çalma ve kaçırma yetenekleriyle gelişmiş performans sunduğunu iddia ediyor; bu özellikler, güvenlik ekipleri açısından daha da fazla dikkatli olmayı gerektirecek özellikler.
Vidar halihazırda en büyük bilgi hırsızlarından biri ve Lumma’nın son zamanlardaki düşüşü, bilgi hırsızını önümüzdeki aylarda daha da aktif hale getirecek gibi görünüyor.
Vidar Stealer 2.0: Daha Verimli Kimlik Bilgisi Hırsızlığı için Yeniden Yazıldı
“Loadbaks” adını taşıyan bir Vidar geliştiricisi, bu ayın başlarında Vidar Stealer 2.0’ın yer altı forumlarında yayınlandığını duyurdu. Loadbaks, yazılımı C dilinde yeniden yazmanın, C++ bağımlılıklarını ve çalışma zamanı yükünü ortadan kaldırarak “kararlılık ve hızda büyük bir artış sağladığını” iddia etti.
Trend Micro Tehdit Analisti Junestherry Dela Cruz, kötü amaçlı yazılımın yeni bir teknik analizinde, yeni sürümün daha yüksek performans ve verimlilik için “C++’tan saf C uygulamasına tam geçiş” üzerine inşa edildiğini söyledi.
Dela Cruz, Vidar 2.0’ın “gelişmiş anti-analiz önlemleri, çok iş parçacıklı veri hırsızlığı yetenekleri ve tarayıcı kimlik bilgilerini çıkarmaya yönelik gelişmiş yöntemler dahil olmak üzere bir dizi endişe verici özellik” sunduğunu söyledi. “300 ABD doları tutarında tutarlı bir fiyat noktasıyla, saldırganlara hem uygun maliyetli hem de verimli güçlü araçlar sunuyor.”
Tehdit araştırmacısı, Vidar’ın yedi yıllık geçmişi boyunca yeni özelliklere destek ekleyerek ve güvenilir destek konusunda itibar kazanarak Raccoon ve RedLine gibi rakiplerden uzaklaştığını söyledi. En son sürüm Vidar ile rakipler arasındaki mesafeyi daha da artırıyor.
Çok İş Parçalı Mimari Daha Hızlı Hırsızlık, Daha Az Tespit Süresi Anlamına Gelir
Kötü amaçlı yazılımın çok iş parçacıklı mimarisi, çok çekirdekli işlemcilerin daha verimli kullanılmasına olanak tanıyor. Vidar geliştiricisi, veri toplama görevlerinin paralel iş parçacıklarında gerçekleştirilmesinin, veri toplama ve dışarı sızmayı büyük ölçüde hızlandırdığını iddia ediyor.
Dela Cruz, Trend’in analizinin, kötü amaçlı yazılımın “performansını kurbanın bilgisayar özelliklerine göre otomatik olarak ayarlayan gelişmiş bir çoklu iş parçacığı sistemi kullandığını” gösterdiğini söyledi. Güçlü sistemlerde daha fazla çalışan iş parçacığı ve daha zayıf makinelerde daha az iş parçacığı oluşturarak operasyonlarını ölçeklendirir, böylece hedef sistemi bunaltmadan en iyi performansı sağlar. Bu yaklaşım, kötü amaçlı yazılımın, tarayıcılar, kripto para birimi cüzdanları ve benzeri gibi birden fazla kaynaktan aynı anda veri çalmasına olanak tanır. dosyaları teker teker işlemek yerine.”
Dela Cruz, aynı anda birden fazla kaynaktan çalmanın yanı sıra, paralel işleme özelliğinin kötü amaçlı yazılımın sistemde aktif kalması için gereken süreyi de azalttığını ve “güvenlik yazılımının hırsızlık işlemini tespit etmesini ve durdurmasını zorlaştırdığını” söyledi.
Vidar 2.0, Chrome Uygulamaya Bağlı Güvenliği Atladığını İddia Ediyor
Vidar geliştiricisi Loadbaks ayrıca Vidar 2.0’ın Chrome’un AppBound şifrelemesini atlamak için şifreleme anahtarlarını belirli uygulamalara bağlayarak kimlik bilgilerinin çıkarılmasını önleyen “benzersiz” yöntemlere sahip olduğunu iddia etti.
Dela Cruz, ikili analizin Vidar 2.0’ın “hem geleneksel tarayıcı depolama yöntemlerini hem de birden fazla tarayıcı platformunda Chrome’un en son güvenlik korumalarını hedefleyen kapsamlı tarayıcı kimlik bilgisi çıkarma yeteneklerini uyguladığını” gösterdiğini söyledi.
Araştırmacı, kötü amaçlı yazılımın “tarayıcı profillerinin sistematik numaralandırılmasını” içeren katmanlı bir yaklaşım kullandığını ve standart DPAPI şifre çözme yöntemini kullanarak Yerel Durum dosyalarından şifreleme anahtarlarını çıkarmaya çalıştığını söyledi.
Vidar 2.0 ayrıca tarayıcıları hata ayıklama etkinken başlatabilir ve kabuk kodu veya yansıtıcı DLL enjeksiyonu yoluyla çalışan tarayıcı işlemlerine kötü amaçlı kod enjekte edebilir.
Dela Cruz, “Enjekte edilen veri, şifreleme anahtarlarını doğrudan tarayıcı belleğinden çıkarıyor, ardından disk yapıtlarını önlemek için çalınan anahtarları adlandırılmış kanallar aracılığıyla ana kötü amaçlı yazılım sürecine geri gönderiyor” diye yazdı. “Bu yaklaşım, anahtarları depolama alanından şifresini çözmeye çalışmak yerine aktif bellekten çalarak Chrome’un AppBound şifreleme korumalarını atlayabilir.”
Polimorfik Oluşturucu Kaçınma Tekniklerini Güçlendirir
Loadbaks, Vidar 2.0’ın aynı zamanda otomatik bir polimorfik oluşturucu içerdiğini iddia ediyor; “böylece her yapı artık benzersizdir” dedi Loadbaks, statik algılamayı daha da zorlaştıran farklı ikili imzalarla.
Dela Cruz, güncellenen kötü amaçlı yazılımın “kontrol akışını düzleştirmenin yoğun bir şekilde kullanıldığını, sayısal durum makineleriyle karmaşık anahtar durumu yapılarının uygulandığı ve bu durumun tersine mühendisliği daha zor hale getirdiğini söyledi. Bu gizleme yöntemi, doğal program akışını anahtar ifadeleri tarafından kontrol edilen bir dizi durum geçişine dönüştürerek orijinal program mantığını etkili bir şekilde gizler.”
Araştırmacı, kontrol akışı düzleştirme tekniğinin Lumma örneklerinde de görüldüğünü ve bunun “bilgi hırsızı ekosisteminde benzer gizleme çerçevelerinin benimsenmesini önerdiğini” söyledi.
Dela Cruz sözlerini şöyle tamamladı: “Kötü amaçlı yazılımın teknik yetenekleri, 2018’den bu yana kanıtlanmış geliştirici geçmişi ve rekabetçi fiyatlandırması, onu Lumma Stealer’ın pazardaki hakim konumunun muhtemel halefi olarak konumlandırıyor.”