170期报告汇总
安天发布《Vidar 信息窃取木马分析报告》
 
     近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 种名为 Vidar 的新型信息窃取木马。攻击 者使用 Fallout 漏洞利用工具包,通过恶意 广告来传播 Vidar 病毒。Vidar 不仅能窃取 用户敏感信息,而且还具有加载器功能, 可以使系统继续感染其他恶意软件,受到 二次攻击。

     Vidar 在 2018 年 10 月首次出现,它与 Arkei 窃取木马的相似度极高,并且拥有 这类木马的一些典型功能,如窃取浏览器 历史记录,加密货币钱包数据、应用数据、 即时消息会话、屏幕截图、系统快照等信 息。值得注意的是,Vidar 正作为一款应用 产品在应用商店和论坛出售,购买者可以通过配置文件设置他们感兴趣的数据,生 成自定义的木马文件。当 Vidar 运行后, 它将搜索配置文件中指定的数据,通过未 加密的 HTTP POST 请求将这些数据上传 至 C2 服务器,其中包括系统详细信息(系 统概述、正在运行的进程、已安装的程 序)以及受害者的个人信息(IP 地址、国 家、城市、ISP)。之后,Vidar 还可以通 过 C2 服务器下载其他恶意软件对系统进 行二次攻击。在最近的恶意活动中,Vidar 与 GrandCrab 勒索软件结合,给用户造成 双重打击。

     安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务, 而是将运行远 程桌面的计算机放在 VPN 之后,只有使 用 VPN 才能访问它们。同时也要做好文 件的备份,以防止勒索软件加密重要文件 后无法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。