کمپین بدافزار Vidar و باج‌افزار GandCrab

بررسی‌های جدید محققان امنیتی نشان می‌دهد که مجرمان سایبری به‌تازگی در حال هدف قرار دادن قربانیان خود با حملات چند منظوره هستند. حملاتی که در آن از بدافزار Vidar برای سرقت اطلاعات و باج‌افزار GandCrab برای رمزگذاری فایل‌های قربانیان استفاده شده است. به گفته محققان، دامنه قربانیان این نوع از حملات می‌تواند بسیار گسترده‌تر از سایر حملات مشابه باشد.
بدافزار Vidar و باج‌افزار GandCrab

براساس گزارش منتشر شده توسط شرکت امنیتی مالوربایتس، به‌تازگی کمپین تبلیغات مخربی تحت عنوان prolific کاربران سایت‌های پرترافیک مانند تورنت را تحت شرایطی مورد هدف قرار داده است که طی آن، از کدهای بهره‌برداری اینترنت اکسپلورر و فلش‌پلیر استفاده شده است. به گفته محققان مالوربایتس هکرها در این کمپین، از بسته‌های نفوذ Fallout برای انجام این حملات خود استفاده کرده‌اند.

گزارش مالوربایتس نشان می‌دهد که یکی از بدافزارهای به‌کار رفته در این کمپین، Vidar است که می‌تواند اطلاعات کاربران از جمله گذرواژه‌ها، اسناد ذخیره شده در دستگاه‌ها، تاریخچه مرورگر، اطلاعات کارت‌های اعتباری و اطلاعات ذخیره شده در نرم‌افزار احراز هویت دو مرحله‌ای را هدف قرار دهد. همچنین این بدافزار توانایی تهیه اسکرین‌شات از صفحه نمایش قربانیان خود را نیز داراست.

بدافزار Vidar همچنین می‌تواند کیف‌پول‌های مجازی ذخیره کننده بیت‌کوین و دیگر ارز‌های دیجیتالی را هدف قرار دهد. این بدافزار کاملا قابل تنظیم بوده و توسط گروه‌های تهدیدگر متعددی در کمپین‌های مختلف توزیع شده و مورد استفاده قرار گرفته است. به نظر می‌رسد که نام این بدافزار برگرفته از Norse God باشد و نویسندگان قصد داشته باشند با استفاده از این نام، توانایی‌های پنهان این بدافزار را بازتاب دهند. 

اما این پایان حمله مهاجمان در این کمپین نیست؛ از آنجایی که سرور کنترل و فرمان Vidar امکان توزیع دیگر بدافزارها را نیز داراست، محققان دریافته‌اند که برای توزیع باج‌افزار GandCrab نیز مورد استفاده قرار می‌گیرد.

باج‌افزار GandCrab یکی از فعال‌ترین خانواده‌های باج‌افزاری رمزگذاری فایل‌ها است که با به‌روزرسانی‌های مرتب، قوی‌تر شده و شناسایی و بررسی آن برای محققان دشوار‌تر شده است. در این مورد، نسخه ۵.۰۴ باج‌افزار GandCrab حدود یک دقیقه پس از آلودگی اولیه دستگاه قربانی به بدافزار Vidar از سرورهای مهاجمان دریافت و اجرا می‌شود. سپس با رمزگذاری اطلاعات، پیامی مبنی بر آلودگی دستگاه به باج‌افزار را برای قربانی نمایش می‌دهد که طی آن مبلغ باج به بیت‌کوین درخواست می‌شود.

 

 

توضیحات بیشتر در:
-  Vidar and GandCrab: stealer and ransomware combo observed in the wild