出典:Bits And Splits via Shutterstock
認証情報を窃取するマルウェアVidarは2018年からサイバー犯罪エコシステムに潜んでいましたが、昨年その2大ライバルが執行機関によって壊滅された後、情報窃取型マルウェア市場のトップへと躍進しました。
この変化は、混乱の最中にマルウェア作成者がVidarの大規模なアップグレードをリリースし、流通ネットワークを拡大することで、サイバー犯罪者の代替手段として位置付けられたことで加速しました。これはIntrinsecからの新しい調査によるものです。
トップへの躍進
43ページのレポートにおいて、Intrinsecはサイバー犯罪マーケットプレイスであるRussian Marketで、2025年11月以降最も使用されている情報窃取型マルウェアとしてVidarについて説明しています。これは、2025年5月と2025年11月にそれぞれ執行機関によって以前のトップランク情報窃取型マルウェア操作が中断されたLummaとRhadamanthysの両方に取って代わりました。
この変化は重大です。Vidarは大量の、広範なスペクトルの認証情報収集ツールであり、Scattered Spiderを含む一部の著名な脅威グループが彼らのキャンペーンで使用しています。顧客基盤の拡大は、より多くの脅威アクターがコーポレートネットワークに対してこのマルウェアを展開していることを意味します。
「混乱は階段であり、Vidarはこの不安定性からLummaとRhadamanthysの壊滅によって恩恵を受け、情報窃取型エコシステムのトップへと昇ることに成功しました」とフランスのサイバーセキュリティ企業がレポートで述べています。「サンプルの大量とユーザー全体を対象とした区別のないキャンペーンのため、このマルウェアを使用するコーポレートネットワークに対する複数の侵害試行の継続を期待できます。」
ほとんどの蔓延している情報窃取型マルウェアと同様に、Vidarはサイバー犯罪者が組織に対する将来の攻撃で使用できる機密データの広い範囲をターゲットにしています。このマルウェアは、Chrome、Firefox、Edge、Opera、Vivaldi、Waterfox、Palemoonなどの主要ブラウザから保存されたパスワード、クッキー、自動入力データ、セッショントークンを取得します。
暗号通貨ウォレットも焦点であり、Vidarのオペレーターは暗号通貨ウォレットブラウザ拡張IDのキュレーションされたリストを彼ら自身のインフラストラクチャ上でホストしています。このマルウェアはスクリーンショットもキャプチャでき、メールクライアントデータを収集し、ローカルファイルを流出させて、攻撃者に被害者環境の包括的な図を与えることができます。
Intrinsecによると、盗まれた認証情報は、Russian Marketなどの地下マーケットプレイスですぐに現金化されます。敵対者は通常、そのような認証情報を使用してアカウントを引き継ぎ、ネットワーク内で横方向に移動し、ランサムウェアを展開し、権限をエスカレートし、正当なユーザーまたはサービスを装って他の悪意のある行動を実行しています。
配信戦術
攻撃者はVidarを配信するために様々な方法を使用しています。最も一般的な戦術には、ファイル共有プラットフォームからの正当なソフトウェアインストーラーに偽装されたフィッシングの添付ファイル、およびYouTubeでのソーシャルエンジニアリング誘導が含まれ、これはユーザーを一般的なファイル共有サービスを通じて悪意のあるダウンロードにリダイレクトします。他の研究者は、ClickFixキャンペーン、トロイの木馬化されたnpmパッケージ、および偽のゲームチートを使用してVidarを配信しているという攻撃者の記述を示しています。
Intrinsecによると、Vidarの最近の成長に大きく寄与している要因は、オペレーターがTelegram上のいわゆる「Cloud」チャネルと協力することを決定したことです。これは、サイバー犯罪者が盗まれた認証情報ログを自由に共有する公開または半公開チャネルです。Kata Cloud、Poltergeist Cloud、Cron Cloud、Omega Cloudなどの名前で呼ばれるこれらのチャネルは、Vidarの宣伝を助け、このマルウェアにより多くのクライアントを引き付けるのに役立ったと、Intrinsecは述べています。
「Telegram「クラウド」チャネルは盗まれたログのエコシステムを燃料にし、盗まれたデータの背後にある盗人を宣伝するのに役立ちます」とセキュリティベンダーは述べています。「これらのチャネルの加入者は、より多くのチャネルがVidarを使用していることに気付き、したがってこれがデータを盗むのに役立つプログラムであると考えるかもしれません。」
Vidarのインフラストラクチャは、壊滅化の試みに生き残るように設計されています。Vidarのオペレーターがコマンドアンドコミュニケーション(C2)システムを隠そうとするために使用した1つのメカニズムは「dead drop resolvers」です。これは、マルウェアが直接そのC2アドレスを含まない技術です。代わりに、このマルウェアはTelegramなどの正当な公開プラットフォームを指すURLを含んでいます。攻撃者は実際のC2アドレスをプロフィール説明、投稿、またはアカウント自己紹介に埋め込みます。Vidarがシステムに到達すると、これらのURLに到達して実際のC2の詳細を動的に取得し、静的検出とブロッキングを回避します、とIntrinsecは述べています。
Vidarに対する保護のためのIntrinsecの推奨事項には、認証情報の盗難を軽減するためのブラウザ関連アカウントの多要素認証の有効化、既知の悪意のあるドメインとIPアドレスをブロックするためのDNSフィルタリングと安全なWebゲートウェイの展開、およびメール添付ファイルとURLを分析するためのサンドボックスソリューションの使用が含まれます。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/vidar-top-chaotic-infostealer-market
