“Vidar” zərərli proqram təminatı üzrə yeni hücum kampaniyası aşkar edilib

Tədqiqatçılar tərəfindən Vidar adlı məlumat oğurlayıcı zərərli proqram təminatının yeni və təkmilləşdirilmiş hücum kampaniyası ilə yenidən aktivləşdiyi müəyyən edilib. Məlumata əsasən 2018-ci ildən etibarən dövri olaraq müşahidə edilən Vidar zərərli proqramı bu dəfə yalnız şifrələrin deyil, həm də brauzer məlumatlarının, sessiya kukilərinin, kriptovalyuta fayllarının və sistemə aid digər həssas məlumatların oğurlanmasına yönəlib.

Mütəxəssislər tərəfindən aparılmış texniki analizlər göstərir ki, hücumlar çoxmərhələli icra zənciri üzərindən həyata keçirilir və bu proses müasir müdafiə sistemlərindən yayınmağa imkan verir. Hücum zənciri çərçivəsində “MicrosoftToolkit.exe” adlı fayl ilkin icra nöqtəsi kimi istifadə olunur. Ardınca sistemdə bir sıra skriptlər icra edilir, əlavə komponentlər yüklənir və nəticədə Vidar payload-u aktiv vəziyyətə gətirilir. Aktivləşmədən sonra zərərli proqram brauzerlərdə saxlanılan istifadəçi məlumatlarını, sessiya kukilərini və kriptovalyuta pulqabısı məlumatlarını toplayaraq uzaq serverlərə ötürür. Eyni zamanda, zərərli proqram təminatı öz kommunikasiya proseslərində Telegram və Steam kimi legitim xidmətlərdən istifadə etməklə trafiki maskalayır.

Mütəxəssislərin qiymətləndirməsinə görə Vidar zərərli proqramı icra olunduqdan sonra sistemdə izlərini minimuma endirmək məqsədilə faylların silinməsi, proseslərin dayandırılması və analiz mühitlərinin aşkar edilməsi kimi mexanizmlər tətbiq edir.

Mütəxəssislər istifadəçilərə və təşkilatlara yoluxmuş sistemlərin dərhal şəbəkədən ayrılmasını, bütün giriş məlumatlarının dəyişdirilməsini, aktiv sessiyaların sonlandırılmasını və iki faktorlu autentifikasiyanın tətbiqini tövsiyə edirlər. Eyni zamanda sistemlərin tam yenidən qurulması və şəbəkə trafikinin davamlı monitorinqi vacib hesab olunur.