Vidar Stealer đang được phân phối qua một chiến dịch tin tức bảo mật mới với chuỗi tấn công nhiều giai đoạn, nhắm vào người dùng Windows để vượt qua lớp phòng thủ endpoint và thu thập thông tin xác thực nhạy cảm.
Chiến dịch này đáng chú ý vì vận hành âm thầm, thường hoàn tất quá trình đánh cắp trước khi nạn nhân nhận ra hệ thống bị xâm nhập hoặc dữ liệu bị lộ.
Chuỗi tấn công và cơ chế phân phối Vidar Stealer
Vidar Stealer là một họ mã độc đánh cắp thông tin đã xuất hiện từ năm 2018, phát triển từ Arkei stealer. Phiên bản được quan sát gần đây tiếp tục mở rộng khả năng chiếm quyền điều khiển bằng cách bổ sung cơ chế né tránh EDR và thực thi theo nhiều giai đoạn.
Nhà nghiên cứu bảo mật tại Genians Security Center đã ghi nhận chiến dịch này và mô tả việc lạm dụng script bị làm rối, tải payload nhiều bước, cùng các công cụ hợp pháp của hệ điều hành để tránh tạo cảnh báo. Tham khảo phân tích gốc tại Genians Security Center.
Chuỗi tấn công thường bắt đầu từ email spear-phishing được tùy biến theo bối cảnh nghề nghiệp của người nhận. Tệp đính kèm dạng ZIP chứa shortcut Windows được ngụy trang như tài liệu công việc. Khi người dùng mở shortcut, một lệnh đã bị làm rối sẽ chạy ngầm mà không hiển thị dấu hiệu rõ ràng.
Multi-stage delivery và obfuscation
Điểm quan trọng của chiến dịch Vidar Stealer là các bước tải xuống payload tiếp theo. Mỗi giai đoạn dùng obfuscation dựa trên biến môi trường để tái dựng lệnh chỉ tại thời điểm runtime.
Cách làm này khiến công cụ phân tích tĩnh khó nhận diện ý đồ thực thi. Đồng thời, chuỗi lệnh không xuất hiện đầy đủ ở dạng plaintext trong quá trình chạy, làm giảm hiệu quả của các hệ thống phát hiện dựa trên hành vi hoặc chữ ký đơn thuần.
Vidar Stealer bypass EDR bằng kỹ thuật Living-off-the-Land
Chiến dịch này sử dụng curl.exe, một binary hợp pháp của Windows, để tải thêm payload từ máy chủ từ xa. Đây là kỹ thuật Living-off-the-Land, vì malware tận dụng công cụ hệ thống sẵn có để che giấu hoạt động mạng và giảm mức độ nghi ngờ.
Trong một bước khác, chiến dịch tải Python Embed package từ nguồn bên ngoài để tạo môi trường thực thi im lặng. Điều này giúp giảm tín hiệu bất thường trong quá trình tải xuống và thực thi payload.
Đối với hệ thống giám sát dựa trên chữ ký, việc nhận diện hành vi trở nên khó khăn hơn vì các lệnh bị tách nhỏ, xây dựng lại từng phần, và chỉ hoàn chỉnh tại runtime.
Scheduled task để duy trì hiện diện
Chiến dịch tạo một scheduled task với tên được thiết kế giống tiến trình hệ thống hợp lệ của Microsoft. Tác vụ này chạy định kỳ mỗi 1 phút, bảo đảm mã độc duy trì hiện diện sau khi khởi động lại máy.
Payload cuối cùng là một tệp Python bytecode được ngụy trang với phần mở rộng .cat. Thành phần này hoạt động như một remote access backdoor, có thể thực thi lệnh, thu thập tệp và xuất dữ liệu hệ thống về hạ tầng do kẻ tấn công kiểm soát.
Các dữ liệu mà Vidar Stealer nhắm tới
Khả năng cốt lõi của Vidar Stealer trong chiến dịch này là trích xuất thông tin người dùng từ các trình duyệt dựa trên Chromium và ứng dụng tương tự. Mục tiêu gồm mật khẩu lưu cục bộ, session cookie và các tệp khóa mã hóa mà trình duyệt dùng để bảo vệ dữ liệu đăng nhập.
Mã độc sử dụng Windows CryptUnprotectData API để giải mã trực tiếp khóa từ tệp Local State của trình duyệt. Khi giải mã thành công, nó có thể truy cập đầy đủ vào thông tin xác thực đã lưu.
- Mật khẩu trình duyệt lưu cục bộ.
- Session cookies và token xác thực.
- Thông tin autofill.
- Key file phục vụ giải mã dữ liệu đăng nhập.
- Wallet data của ví tiền mã hóa.
Với mục tiêu thu thập credential, đây là một dạng rủi ro bảo mật trực tiếp đối với người dùng cá nhân và môi trường doanh nghiệp có thói quen lưu mật khẩu trên trình duyệt.
Hạ tầng điều khiển và tác động đến phòng thủ
Nhiều miền command-and-control đã được ghi nhận trong quá trình điều tra, trải rộng qua nhiều quốc gia và nhà cung cấp lưu trữ khác nhau. Việc phân tán hạ tầng như vậy khiến việc chặn theo domain hoặc IP trở nên khó khăn hơn.
Trong bối cảnh này, các tổ chức phụ thuộc vào cơ chế phát hiện dựa trên chữ ký truyền thống sẽ gặp bất lợi rõ rệt. Chiến dịch Vidar Stealer có thể hòa lẫn vào hoạt động bình thường của hệ thống, đặc biệt khi các bước tải payload, giải mã lệnh và thực thi đều được ngụy trang bằng công cụ hợp pháp.
Điểm đáng chú ý trong hành vi
Hành vi của chiến dịch xoay quanh việc che giấu chuỗi lệnh, tải theo từng lớp, và thiết lập persistence bằng scheduled task. Đây là các yếu tố thường làm giảm hiệu quả của phát hiện tấn công dựa trên mẫu cố định.
Do đó, phát hiện xâm nhập cần ưu tiên quan sát chuỗi hành vi thay vì chỉ dựa vào hash hoặc tên file. Đây cũng là lý do chiến dịch này thường được xem là một mối đe dọa mạng có mức độ rủi ro cao đối với endpoint Windows.
IOC và lưu ý xử lý trong hệ thống giám sát
Phần nội dung gốc có đề cập đến Indicators of Compromise (IoCs), nhưng không cung cấp danh sách IP, domain hay hash cụ thể ở dạng trích xuất rõ ràng. Vì vậy, không thể liệt kê IOC định danh từ dữ liệu đầu vào này.
Nội dung gốc cũng lưu ý rằng IP và domain được làm mờ để tránh truy cập ngoài ý muốn. Khi xử lý trong môi trường kiểm soát, chỉ nên giải mã và đối chiếu trong các nền tảng threat intelligence như SIEM, MISP hoặc VirusTotal.
Các tổ chức có thể đối chiếu hành vi với tài liệu phân tích công khai về Vidar Stealer tại Malwarebytes Threat Intelligence.
Biện pháp giảm thiểu rủi ro bảo mật
Khuyến nghị phòng vệ tập trung vào việc tăng cường EDR dựa trên hành vi để phát hiện script bị làm rối và hoạt động tải xuống nhiều giai đoạn. Khi chỉ dựa vào chữ ký, chiến dịch Vidar Stealer có thể né tránh được ở nhiều bước.
- Chặn thực thi shortcut từ trong tệp nén khi không cần thiết.
- Rà soát định kỳ scheduled tasks trên endpoint Windows.
- Giám sát việc gọi curl.exe bất thường từ tiến trình không chuẩn.
- Phát hiện chuỗi lệnh có dấu hiệu substring expansion hoặc tái dựng qua biến môi trường.
- Hạn chế lưu mật khẩu trực tiếp trong trình duyệt trên máy trạm.
Về mặt vận hành, việc theo dõi các tiến trình con, hành vi tải payload từ xa và sự xuất hiện của file .cat giả mạo có thể giúp phát hiện xâm nhập sớm hơn. Khi hệ thống có dấu hiệu bị tấn công, cần ưu tiên cô lập endpoint và kiểm tra các artefact liên quan đến Vidar Stealer.
Những dấu hiệu cần ưu tiên trong điều tra
Trong quá trình điều tra tin tức an ninh mạng này, các nhóm SOC nên tập trung vào các dấu hiệu sau: email đính kèm ZIP, shortcut Windows giả mạo, lệnh bị làm rối, tải xuống nhiều giai đoạn, và scheduled task có tên giống dịch vụ hệ thống.
Đây là chuỗi hành vi đặc trưng của mã độc đánh cắp thông tin có khả năng vượt qua nhiều lớp kiểm soát nếu chỉ dựa vào kiểm tra bề mặt. Với Vidar Stealer, mục tiêu cuối cùng luôn là thông tin đăng nhập, cookie phiên và dữ liệu xác thực nằm trên máy nạn nhân.
