新しいVidarインフォスティーラーキャンペーンは、YouTubeの偽のソフトウェアダウンロードリンクを悪用して企業従業員を侵害し、盗まれた認証情報をロシアのサイバー犯罪マーケットプレイスで販売しています。
調査されたケースでは、被害者はYouTubeでソフトウェアを検索し、ビデオの説明欄のリンクをたどって第三者のファイル共有サービスに導かれた可能性があります。
YouTubeから、ユーザーはfilefa.stにリダイレクトされ、その後MediaFireにリダイレクトされたようで、そこではNeoHubインストーラーを装った圧縮アーカイブがホストされており、分析時にもまだ利用可能でした。
アーカイブには2025年10月16日に作成されたNeoHub.exeと、msedgeelf.dllという悪意のあるライブラリを含む複数のファイルが含まれていました。
NeoHub.exeは通常のWindowsアプリケーションのように見えるため、ユーザーは正規のツールをインストールしていると信じてそれを実行する可能性が非常に高いです。
インフォスティーラーエコシステムに関する年次脅威レポートでは、Vidarがロシアンマーケットマーケットプレイスのトップスティーラーであることに気づきました。
脅威研究者は攻撃者が「NeoHub」という偽のツールを武器化するのを観察し、被害者を誘導して最新のVidar 2.0スティーラーをサイレントにロードする悪意のあるインストーラーを実行させています。
ペイロードの技術詳細
msedgeelf.dllファイルは約10MBの64ビットGo言語でコンパイルされたDLLで、静的解析と動的解析を妨げるためにパックされ、難読化されています。
Vidarが収集したログ内で、「information.txt」ファイルはVidarの広告に使用されるドメインを明かしており、それは現在vidars[.suです。
実行時に、バイナリはmsedgeelf.dllから2つのキー関数をインポートします。実はこれはMicrosoft Edgeコンポーネントに偽装されたVidarサンプルです。
分析者は、LoadLibraryやGetProcAddressなどの古典的なパッカー関連のインポートの異常なセクション名と使用を観察し、制御フロー平坦化を伴うカスタムGo言語ベースのパッカーを示しています。
DLLは元々偽の「githab.com」証明書で署名されており、後に「grow.com」を詐称する別の不正な証明書で再署名されました。両方ともVirusTotalで複数のインフォスティーラーサンプル全体に表示されます。
解凍されると、Vidarは認証情報、Cookie、オートフィルデータ、および暗号通貨ウォレットを対象とした典型的なスティーラー機能を展示します。
このセキュリティ侵害に関するデータを取得して、機密データの外部流出につながったキルチェーンのほぼすべての側面の詳細化に役立てます。
Chrome、Edge、Firefox、Opera、Vivaldi、Waterfox、Pale Moonなど複数のブラウザをサポートし、Firefox’s key4.dbなどのローカルデータベースにアクセスして保存されたシークレットを復号化します。
マルウェアは詳細なシステム情報も収集し、オペレータのホストメタデータをまとめたinformation.txtファイルを生成します。
Vidarは、SteamやTelegramなどの一般的なプラットフォームでホストされているデッドドロップリゾルバに依存して、コマンドアンドコントロール(C2)ドメインを動的に取得します。
分析されたサンプルでは、SteamプロフィールとTelegramチャネルがハードコーディングされ、サブドメイン(gz.technicalprorj.xyz)を指すために使用されました。これは実際のC2ドメインgpu.orca-trade.comに解決されました。
この階層化された設計により、Vidarオペレータはインフラストラクチャを迅速に回転させ、企業ネットワークで一般的に許可されている正規のサービスの背後に隠れることができます。
研究者はまた、vidars.suの周りの拡張されたVidarインフラストラクチャをマッピングしました。これには、複数のIPレンジ全体でホストされたtrue-v.top、v-new.cloud、my-vidar.ru、vidmn.topなどの関連ドメインが含まれます。
Hotmailを模倣したotmail.topドメインを使用するメールアドレスは、複数のVidar関連ドメインにリンクされており、ルックアライク インフラストラクチャの使用をさらに示しています。
盗まれたログから企業への影響まで
このキャンペーンからの盗まれたデータは、「ログ」としてロシアンマーケットおよびKATANACLOUDやBradMax Cloudなどのtelgram「クラウド」チャネルで販売または共有され、これらはVidarコンテンツを積極的に宣伝しています。
これらのチャネルは、インフォスティーラーログを幅広い脅威アクターに配布し、VPN乗っ取りなどの二次攻撃、企業メール侵害、クラウドアカウント乗っ取り、および金融詐欺を可能にします。
初期の誘い文句が、割れたツールまたは非公式なツール用にYouTubeを検索する一般的なユーザー行動を悪用しているため、企業従業員は十分に保護されたネットワークでさえ直接曝露されています。
Vidarがブラウザに保存されている認証情報とCookieを外部流出させると、攻撃者は場合によってはセッションCookieを再生するか、不十分に保護された内部ポータルをターゲットにすることで多要素認証をバイパスできます。
セキュリティチームは、最近のレポートで詳述されたVidarインフラストラクチャをブロックする必要があります。これには、vidars.su、true-v.top、v-new.cloud、my-vidar.ru、getpi.su、get-p.buzzなどのドメインと関連するIPアドレスが含まれます。
ネットワークとメールセキュリティ制御は、デッドドロップリゾルバーとして使用されるSteamおよびTelegramプロフィールへのトラフィックの検出、ならびにYouTubeまたはショートナードメインからリンクされたMediaFireなどのファイル共有サービスからの疑わしいダウンロードに焦点を当てる必要があります。
企業はまた、パスワードストレージを制限し、多要素認証を強制し、盗まれたCookieに関連する異常なログインパターンを監視することにより、ブラウザセキュリティを強化する必要があります。
最後に、定期的な認識トレーニングは、YouTubeリンクおよび非公式なファイル共有サイトから「無料」ツールをインストールするリスクを明確にカバーする必要があります。このVidarキャンペーンは、単一のユーザーアクションがいかに簡単に企業認証情報を大規模に公開できるかを示しています。
翻訳元: https://gbhackers.com/fake-youtube-downloads/
