Vidar Stealer

O malware Vidar Stealer é um clássico Trojan InfoStealer que foi identificado pelos pesquisadores de segurança em dezembro de 2018. O malware Vidar Stealer é baseado em um projeto anterior chamado Arkei, mas tem diferenças notáveis, tais ​​como comutadores de servidores de 'Comando e Controle' a cada quatro dias; um novo formato para as informações coletadas; e um componente assustador altamente modificado. O Vidar Stealer é oferecido pelos seus desenvolvedores usando o modelo de negócio Malware-como-um-Serviço (McuS), no qual terceiros pagam uma locação para usar o produto de malware e obter lucro.

Acredita-se que o Vidar Stealer seja operado por agentes de ameaças de língua russa, principalmente porque a maioria das versões do malware incluem uma lista negra de países associados à antiga União Soviética. O Vidar Stealer está configurado para ser encerrado nos computadores que são identificados como sendo executados da Rússia (RU), Bielorrússia (BY), Uzbequistão (UZ), Cazaquistão (KZ) e Azerbaijão (AZ). O Vidar Stealer é escrito em C ++ e pode aparecer no Gerenciador de Tarefas de hosts infectados, tais como o 'vidar.exe'. O Vidar Stealer Trojan é suspeito de estar no negócio desde outubro de 2018, e é vendido a uma taxa de 250-700 dólares, dependendo do plano de subscrição escolhido pelos clientes. O Vidar Stealer permite que os agentes de ameaças coletem uma ampla variedade de informações do sistemas comprometidos, incluindo:

• Documentos e arquivos de programas em formatos com .TXT, .DAT, .AUTH, .UTC, .CRYPT and .KEY.
• Cookies do navegador da Web.
• Histórico do navegador da Web e registros de download do Google Chrome (e derivados), Mozilla Firefox (e derivados), Edge e Internet Explorer, incluindo registros do Navegador TOR.
• Registros de preenchimento automático do navegador da Web, tais como cartões de crédito, endereço residencial, número de telefone e conta de e-mail principal vinculada a pagamentos on-line.
• Carteiras offline de moeda digital.
• Tokens do software de autenticação de dois fatores, tais como Authy, do Authy.com.
• Mensagens salvas do Telegram, Steam, Discord, Pidgin e Skype, bem como clientes de e-mail tais como o Thunderbird e o The Bat!
• Credenciais de login salvas para o FileZilla e o WinSCP.

Além disso, o Vidar Stealer pode fazer capturas de tela da área de trabalho do usuário e uma lista dos softwares instalados junto com as configurações. O Vidar Stealer é promovido como não tendo dependências fora da sua carga útil, mas os pesquisadores descobriram que ele faz o download das bibliotecas DLL associadas ao navegador Firefox e as transfere para o diretório ProgramData. O Vidar Stealer é conhecido por extrair moedas digitais de dezoito tipos de moedas digitais, entre as quais estão o Litecoin, Bitcoin, Ethereum, Zcash e DashCore. O malware infecta os sistemas por meio de e-mails de spam, software pirateado e programas de hack para jogos de PC populares. É uma ideia inteligente usar um gerenciador de senhas e evitar softwares que possam vir de fontes questionáveis. O Vidar Stealer pode ser removido com a ajuda de uma solução anti-malware de boa reputação.