Vidar hırsızı: Derinlemesine inceleme

Kötü niyetli unsurların cephaneliklerinde, habersiz hedeflerden bilgi çalmak için pek çok silah bulunur. Son yıllarda Vidar hırsızları giderek daha yaygın hale gelmiştir. Bu özel zararlı yazılım, çok çeşitli bilgileri çalıp saldırgana aktarmak için cihazlara gizlice bulaşmada oldukça etkilidir.

Peki Vidar hırsızı tam olarak nedir ve bu saldırılar nasıl işliyor?

Vidar hırsızı nedir?

Vidar casus yazılımı olarak da adlandırılan Vidar hırsızları, cihazlara saldırmayı ve cihazın sistemindeki kişisel ve kripto para cüzdanları bilgilerini çalmayı amaçlayan zararlı yazılım türleridir. Bununla birlikte, Vidar bazen cihazlara fidye yazılımı gönderme yöntemi olarak da kullanılır.

Vidar botnet’leri 2018’den beri var olmasına rağmen, kökenleri tam olarak bilinmiyordu. Ancak Kasım 2023’te yapılan bir röportajda, geliştiriciler kötü amaçlı yazılımın Arkei truva atının bir evrimi olduğunu doğrulamıştır. Zararlı yazılım bir servis olarak çalışır ve doğrudan geliştiricinin dark web’deki web sitesinden satın alınabilir.

Vidar zararlı yazılımı özellikle Komuta ve Kontrol Altyapısını (ya da C2 iletişimi) kullanma yöntemiyle tanınmaktadır. Bu da çoğunlukla Telegram ve Mastodon gibi sosyal medya ağları ve son zamanlarda da sosyal oyun platformu Steam üzerinden meydana gelmektedir.

Vidar hırsızı nasıl çalışır?

Vidar, C2 altyapısı için ve süreçlerinin bir parçası olarak genellikle sosyal medyayı kullanıyor. Genellikle, belirli bir sosyal ağ profilinin adresi Vidar zararlı yazılımının içine gömülür ve ilgili C2 IP adresi bu yazılımın özelliklerinde yer alır. Bu da casus yazılımın IP adresiyle iletişim kurmasını, dosya ve komutları indirmesini ve hatta daha fazla zararlı yazılım yüklemesini de kapsayan profilin kontrolünü ele geçirmesini sağlar.

Öte yandan, Vidar botnet özünde bir bilgi hırsızı olduğundan, öncelikli işlevi virüs bulaşmış bir cihazdan kişisel bilgileri toplamak ve bu bilgileri saldırgana göndermektir. Vidar’ın çalabileceği birçok farklı bilgi türü vardır:

• İşletim sistemi bilgileri
• Oturum açma bilgileri
• Kredi kartı veya banka bilgileri
• Tarayıcı geçmişi
• Tarayıcı çerezleri
• Cihazda yüklü yazılımlar
• İndirilen dosyalar
• Kripto para cüzdanları - özellikle Exodus, Ethereum, MultiDoge, Atomic, JAXX ve ElectronCash
• Ekran görüntüleri
• E-postalar
• FTP kimlik bilgileri

Bazı durumlarda, Vidar bir cihaza kötü amaçlı yazılım yüklemek için özel olarak kullanıldığında, virüslü dosyanın indirileceği bir bağlantı belirleyip ardından dosyayı çalıştırmak için C2 altyapısını kullanır. Bu sayede saldırgan cihaza erişebilir ve bunu kendi amaçları için kullanabilir ya da dark web üzerinden diğer siber suçlulara satabilir.

Bir bilgisayara indirildiğinde, fark edilmemek için çeşitli yöntemler kullanır. Vidar hırsızları genellikle antivirüs tarayıcıları tarafından tespit edilmemek için büyük bir yürütülebilir dosya kullanır. Uzmanlar, detaylı analizler sonucunda Vidar örneklerinin dosya sonunda boş baytlar (ya da .exe dosyasının sonunda sıfırlar) içerdiğini ve bunun da dosya boyutunu yapay olarak şişirdiğini keşfetmiştir. Dosya boyutu çok büyük olduğundan, genellikle kötü amaçlı yazılımdan koruma yazılımlarının dosya sınırlarını aşar ve bu yazılımlar da dosyayı analiz etmeyi atlar. Ek olarak, Vidar dosyaları koruyucu yazılımların analiz etmesini zorlaştırmak için genellikle dizi kodlaması ve şifreleme kullanır. Ayrıca süresi dolmuş dijital sertifikalarla doğrulanmış dosyaları da kullanır.

Söz konusu cihaza bulaştıktan ve mümkün olduğunca çok bilgi çaldıktan sonra, Vidar truva atı tüm verileri bir ZIP dosyasına paketler ve komut sunucusuna gönderir. Zararlı yazılım daha sonra kendini imha eder ve cihazın sistemindeki varlığına dair tüm kanıtları siler. Bu nedenle, Vidar zararlı yazılım saldırılarını araştırmak çok zor olabilmektedir.

Vidar nasıl yayılır?

Vidar kötü amaçlı yazılımı çoğunlukla spam e-postalar aracılığıyla yayılır. Kurban genellikle çevrimiçi bir satın alma işlemi için faturaya veya abonelik yenileme onayına benzeyen, istenmeyen ancak zararsız görünen bir e-posta alır. E- postada genellikle kurbanın daha fazla bilgi için açmaya yönlendirildiği bir ek bulunur. Ne var ki, Vidar zararlı yazılımı ekin içine gömülüdür ve kurban bu eki açtığında zararlı yazılım yayılır.

Genelde ek, makro komut dosyası kullanan bir Microsoft Office belgesidir. Bu nedenle, belge açıldığında, kullanıcıdan makroların yürütülmesini etkinleştirmesi istenir. Bunu yaptıklarında ise, cihaz zararlı yazılım sunucusuna bağlanır ve Vidar hırsızının indirilmesini sağlar. Microsoft, Vidar zararlı yazılımının saldırılarını azaltmak için makroların yürütülme şeklini değiştirdi.

Ancak bu da siber suçluların Vidar truva atını yaymak için farklı yollar bulmalarına neden oldu. Bunlar şunlardır:

• Ek ISO dosyaları: Vidar zararlı yazılımı, virüslü Microsoft Derlenmiş HTML Yardımı (CHM) dosyası ve ek açıldığında zararlı yazılımı başlatan çalıştırılabilir “app.exe” dosyası gibi e-posta yoluyla ek ISO dosyası olarak da gönderilebilir
• .zip arşivleri: Bir vakada saldırganlar moda markası H&M’i taklit ederek alıcıları bir Google Drive klasörüne yönlendiren ve buradan bir sözleşme ve ödeme bilgilerine erişmek için bir .zip arşivi indirmeleri gereken kimlik avı e-postaları göndermiştir. Dosya daha sonra buradan Vidar hırsızı saldırısını başlatmıştı.
• Sahte yükleyiciler: Saldırganlar Vidar casus yazılımını, kullanıcıların indirebileceği Adobe Photoshop veya Zoom gibi yasal yazılımlar için sahte bir yükleyiciye yerleştirebilir ve hedeflere spam e-posta eki olarak gönderebilir
• Google Arama reklamları: Son zamanlarda, Vidar’ı yaymanın en popüler yollarından biri, zararlı yazılımın senaryolarının içine gömülü olduğu Google Arama reklamlarıdır. Saldırgan, yasal bir yazılım yayıncısınınkileri birebir taklit eden Google Reklamları oluşturur ve habersiz kullanıcılar bu yazılımı indirip çalıştırdıklarında zararlı yazılım çalıştırılır ve cihazlarına bulaşır.
• Fidye yazılımı bağlantıları: Vidar botnet’i bazı durumlarda STOP/Djvu ve GandCrab gibi çeşitli fidye yazılımları ya da PrivateLoader ve Smoke gibi zararlı yazılımlarla birlikte saldırılar gerçekleştirmektedir. Bu son derece tehlikeli saldırılarda, iki zararlı yazılım birlikte yayılarak daha kapsamlı saldırılara, veri çalınmasına ve cihazına virüs bulaşan kullanıcı için sorunlara yol açmaktadır.

Vidar hırsızından nasıl korunulur: 5 temel ipucu

Vidar hırsızı, yalnızca kullanıcı verilerini ve sistem bilgilerini çalmakla kalmaz, aynı zamanda daha fazla zararlı yazılım türünü yaymak için de kullanılabilir. Bu nedenle, bireylerin ve kuruluşların Vidar truva atı saldırılarına karşı önlem almaları gerekmektedir. Faydalı olabilecek beş önleyici tedbir:

1. Bu tür siber tehditleri tespit edip etkisiz hale getiren antivirüs ve web koruma yazılımları kullanın.
2. Gelen tüm e-postaları taramak ve olası şüpheli mesajları engellemek için e-posta güvenlik çözümlerini kullanın.
3. Parola yöneticisi kullanmak, karmaşık parolalar oluşturmak ve bunları düzenli olarak değiştirmek gibi en iyi yöntemleri unutmayın.
4. En son güvenlik yamalarının kullanıldığından emin olmak için tüm yazılım ve işletim sistemlerini güncel tutun.
5. Tespit edilmemiş Vidar casus yazılımlarını veya diğer virüsleri bulup kaldırmak için bilgisayarlarda düzenli olarak tam sistem taraması yapın.

Tüm bunlar olası güvenlik ihlalleri ve zararlı faaliyetlerle mücadele etmek için, cihazın IP adresini maskelemek ve tüm çevrimiçi faaliyetleri şifrelemek için sanal özel ağ (VPN) kullanmak da dahil daha geniş bir stratejinin parçası olmalıdır.

Vidar Hırsızı: Sürekli bir tehdit

Vidar zararlı yazılımı son derece teknik bir casus yazılımdır. Bu saldırılar genellikle spam e-posta, reklam, kırılmış yazılım veya başka yollarla başlasa da, Vidar’ın çalabileceği bilgi miktarı nedeniyle genellikle daha tehlikeli olurlar. Bu da saldırgana başka suçlar işlemesi ya da dark web’de satması için büyük miktarda bilgi sağlar. Ancak temel internet ve e-posta güvenliği uygulamalarını göz önünde bulundurarak Vidar tehdidini ve bu saldırıların başarısını en aza indirmek mümkündür.

Kaspersky Premium + 1 YIL ÜCRETSİZ Kaspersky Safe Kids edinin. Kaspersky Premium, en iyi koruma, en iyi performans, en hızlı VPN, Windows için onaylı ebeveyn kontrolü ve Android için ebeveyn kontrolü konusunda en iyi derece için beş AV-TEST ödülü aldı.

İlgili Makaleler ve Bağlantılar:

• Zararlı yazılımlardan nasıl kurtulursunuz?
• Fidye yazılımları koruması: Verilerinizi 2024’de nasıl güvende tutabilirsiniz
• Fide yazılımlarının kaldırılması: Verilerinizdeki şifrelemeyi kaldırmak - virüsler nasıl öldürülür
• Zararlı yazılım ve girişim algılama

İlgili Ürünler ve Hizmetler:

• Kaspersky Standard
• Kaspersky Premium
• Kaspersky Endpoint Security Cloud
• Kaspersky VPN Secure Connection