Vidar malware tiếp tục xuất hiện trong một cuộc tấn công mạng mới, với chuỗi lây nhiễm nhiều giai đoạn nhằm vượt qua cơ chế phát hiện. Mã độc stealer này đã lưu hành từ cuối năm 2018 và hiện được quan sát trong chiến dịch thu thập dữ liệu trình duyệt, cookie phiên làm việc, file ví tiền điện tử và thông tin hệ thống nhạy cảm.
Điểm đáng chú ý của Vidar malware là không chỉ đánh cắp mật khẩu. Mã độc còn nhắm vào browser data, session cookies, cryptocurrency wallet files và các thành phần dữ liệu có thể dùng để mở rộng xâm nhập. Tham khảo thêm báo cáo gốc tại LevelBlue.
Chuỗi lây nhiễm đa giai đoạn của Vidar malware
Vidar không được triển khai trực tiếp bằng một payload đơn lẻ. Chiến dịch này dùng một multi-stage attack chain với các bước che giấu và tách tải, nhằm làm chậm quá trình phát hiện tấn công của hệ thống bảo mật.
Quá trình bắt đầu bằng một công cụ trông giống như phần mềm hợp lệ, khiến nạn nhân tự thực thi tệp độc hại. Sau khi chạy, thành phần đầu tiên sẽ giải nén hoặc tạo ra các tệp trung gian, kiểm tra tiến trình bảo mật, rồi mới kích hoạt loader cuối cùng.
Thành phần khởi đầu và vai trò của file giả mạo
Tệp MicrosoftToolkit.exe được dùng làm điểm vào. Đây là công cụ bị lạm dụng để đánh lừa người dùng tin rằng họ đang kích hoạt phần mềm hợp lệ. Cách tiếp cận này giảm sự phụ thuộc vào email lừa đảo hoặc khai thác lỗ hổng, đồng thời làm cho các bộ lọc truyền thống khó phát hiện hơn.
Sau khi khởi chạy, một tệp giả mạo có tên Swingers.dot được đổi tên thành batch script và thực thi. Chuỗi lệnh tiếp theo kiểm tra các tiến trình bảo mật đang hoạt động, trích xuất thêm payload và cuối cùng chạy loader biên dịch bằng AutoIt có tên Replies.scr.
Loader AutoIt và giao tiếp C2
Loader được biên dịch bằng AutoIt đóng vai trò tải và kích hoạt payload cuối cùng của Vidar malware. Endpoint telemetry và phân tích động ghi nhận các chuỗi tiến trình cho thấy việc giả mạo script, trích xuất payload theo giai đoạn và giao tiếp command-and-control.
Trong một số quan sát, mã độc sử dụng các nền tảng công khai như Steam và Telegram như một phần của cơ chế C2. Lưu lượng được ngụy trang thành hoạt động web bình thường thông qua các yêu cầu HTTP GET để lấy cấu hình trước khi thực hiện đánh cắp dữ liệu.
Calls HttpOpenRequestA to construct an HTTP requestHành vi đánh cắp dữ liệu của Vidar malware
Trọng tâm của Vidar malware là thu thập dữ liệu có thể chuyển đổi thành giá trị tài chính hoặc dùng để mở rộng truy cập sang hệ thống khác. Khi payload hoàn tất, mã độc nhắm vào:
- Mật khẩu được lưu trong trình duyệt.
- Cookie phiên để chiếm quyền truy cập đang đăng nhập.
- File ví tiền điện tử trên máy nạn nhân.
- Dữ liệu hệ thống phục vụ trinh sát và khai thác tiếp theo.
Chỉ một máy bị nhiễm cũng có thể cung cấp đủ thông tin để kẻ tấn công mở rộng sang các dịch vụ khác, đặc biệt khi thông tin đăng nhập được tái sử dụng trên nhiều hệ thống. Đây là lý do rủi ro bảo mật từ mối đe dọa mạng này được đánh giá ở mức đáng chú ý.
Hạ tầng động và DNS quan sát được
Các truy vấn DNS được ghi nhận tới gz.technicalprorj.xyz, phân giải qua một máy chủ DNS công cộng. Điều này cho thấy hạ tầng được thay đổi linh hoạt để né danh sách chặn và kéo dài thời gian hoạt động của chiến dịch.
Các kết nối ra ngoài sau khi tải payload cũng được xem là dấu hiệu xác nhận hoạt động đánh cắp dữ liệu của Vidar malware. Trong môi trường giám sát, cần đối chiếu đồng thời DNS, HTTP và tiến trình để giảm bỏ sót.
Kỹ thuật né phát hiện và xóa dấu vết
Chiến dịch này thể hiện mức độ tinh vi tương đối cao dù lõi vẫn là một commodity malware. Mã độc kiểm tra debugger và công cụ giám sát bảo mật trước khi tiếp tục, cho phép nó thay đổi hành vi nếu phát hiện môi trường phân tích.
Sau khi hoàn tất trích xuất và gửi dữ liệu, MicrosoftToolkit.exe tự xóa toàn bộ tệp đã thả, đặt lại thuộc tính tệp, giải phóng bộ nhớ liên quan và kết thúc tiến trình của chính nó. Điều này làm giảm mạnh dấu vết phục vụ điều tra sự cố.
Các dấu hiệu kỹ thuật đáng chú ý
- Kiểm tra tiến trình bảo mật đang hoạt động.
- Phát hiện debugger và công cụ giám sát.
- Giả mạo tên file để đánh lừa người dùng.
- Xóa tệp sau khi payload chạy xong.
- Giao tiếp C2 qua lưu lượng web hợp lệ.
IOC liên quan đến Vidar malware
Do nội dung gốc đã làm mờ thông tin và không công bố đầy đủ danh sách IOC, các chỉ báo có thể trích xuất rõ ràng như sau:
- File: MicrosoftToolkit.exe
- File: Swingers.dot
- File: Replies.scr
- Domain: gz.technicalprorj.xyz
- Dịch vụ C2 bị lạm dụng: Steam, Telegram
Lưu ý rằng IP và domain trong nguồn tham chiếu có thể đã được làm mờ. Việc đối sánh IOC nên thực hiện trong môi trường threat intelligence hoặc SIEM có kiểm soát.
Ảnh hưởng hệ thống và phạm vi rủi ro bảo mật
Vidar malware có thể dẫn tới rò rỉ dữ liệu nhạy cảm, chiếm đoạt phiên đăng nhập và lộ thông tin xác thực dùng lại ở các dịch vụ khác. Khi cookie và mật khẩu trình duyệt bị lấy cắp, kẻ tấn công có thể truy cập email, VPN, tài khoản quản trị và các hệ thống phụ thuộc.
Vì payload có khả năng tải thêm thành phần khác, máy bị nhiễm không chỉ đối mặt với rò rỉ dữ liệu mà còn có nguy cơ trở thành điểm trung chuyển cho các hoạt động sau khai thác. Đây là dạng nguy cơ bảo mật thường yêu cầu cách ly máy và xử lý toàn bộ phiên đăng nhập.
Khuyến nghị xử lý và giảm thiểu
LevelBlue khuyến nghị cách ly ngay hệ thống bị ảnh hưởng khỏi mạng để ngăn thất thoát dữ liệu tiếp diễn. Với khả năng tải thêm payload, reimaging toàn bộ hệ thống là phương án được ưu tiên.
Các tài khoản và phiên truy cập đã lộ cần được xoay vòng ngay, bao gồm mật khẩu trình duyệt, email, VPN và tài khoản quản trị. Đồng thời cần đóng tất cả session còn hiệu lực để chặn truy cập trái phép.
Biện pháp cần áp dụng
- Cách ly máy nghi nhiễm khỏi mạng.
- Khởi tạo lại hệ thống nếu xác nhận có xâm nhập.
- Đổi toàn bộ thông tin xác thực đã bị lộ.
- Bật multi-factor authentication cho các dịch vụ quan trọng.
- Giám sát lưu lượng outbound và DNS bất thường.
- Chặn thực thi công cụ không được phép trên endpoint.
Trong phát hiện xâm nhập, cần ưu tiên theo dõi các chuỗi tiến trình có dấu hiệu script masquerading, sinh file tạm theo giai đoạn và kết nối HTTP bất thường đến hạ tầng ngoài. Những dấu hiệu này đặc biệt hữu ích khi truy vết Vidar malware trong môi trường doanh nghiệp.
