Независимый исследователь, известный в Твиттете как @fumik0, поделился результатами анализа новой вредоносной программы с претенциозным названием Vidar (в скандинавской мифологии бог мщения). Как оказалось, по коду она схожа с Windows-трояном Arkei, предназначенным для кражи учетных данных и ключей от криптокошельков, хотя и содержит небольшие отличия.

Новоявленный зловред написан на C++ и активно распространяется, по всем признакам, с октября. Его предлагают как сервис на теневых форумах с возможностью генерации собственных вариантов и доступом к панели администрирования из-под учетной записи на общем портале.

Как и в случае с Arkei, о защите полезной нагрузки подписчик вынужден заботиться сам, вооружившись упаковщиком или криптором. В панели ему отображаются текущая версия компоновщика, заданные настройки, средства систематизации краденых данных, статистика заражений, журнал событий и состояние счета. Примечательно, что имена доменов, по которым вредоносная программа отыскивает C&C-сервер для сброса краденых данных, сменяются каждые четыре дня; все они привязаны к TLD-зоне .COM.

Загрузчик Vidar достаточно примитивен: он скачивает полезную нагрузку, присваивая файлу произвольное имя, сохраняет на диске, а затем запускает на исполнение, используя API-функцию ShellExecuteA.

Вначале зловред собирает информацию о компьютере жертвы, используемой ОС, текущих процессах, установленных программах. Его также интересуют IP-адрес и интернет-провайдер, но более всего — географическое местоположение, дефолтный язык, раскладка клавиатуры и местное время. Если жертва проживает в России, Белоруссии, Узбекистане, Казахстане или Азербайджане, Vidar завершает свое исполнение и отказывается выполнять вредоносные функции.

В противном случае троян приступает к выполнению основной задачи — краже данных. Для этой цели новобранец, по словам @fumik0, располагает классическим набором функций. Vidar способен отыскивать и воровать документы, в том числе со сменных носителей, файлы куки, историю браузера, сохраненные пароли, ключи к кошелькам с криптовалютой, сообщения из мессенджеров, почтовых программ и FTP-клиентов, а также делать снимки экрана.

Списки интересующих оператора объектов тот составляет сам через выбор соответствующих позиций в меню панели. Так, подвергнутый анализу образец Vidar был нацелен на два десятка криптокошельков и располагал перечнем из 30+ браузеров, среди которых числился Tor Browser — весьма необычный пункт для такого списка. Для кражи данных из браузеров зловред загружает дополнительные DLL-библиотеки — в отличие от Arkei, список целей которого гораздо скромнее. По завершении этой задачи DLL удаляются.

Еще одна отличительная черта: новый троян умеет похищать данные из программ, обеспечивающих дополнительный уровень защиты в соответствии с требованиями двухфакторной аутентификации. В ходе анализа @fumik0 обнаружил, что попавший к нему образец нацелен на Authy — бесплатный генератор одноразовых паролей, который зачастую используется как альтернатива Google Authenticator. Точнее, Vidar интересовало содержимое файла SQLite, ассоциируемого с этим приложением в папке %APPDATA%.

Украденные данные зловред архивирует и отправляет в свой репозиторий на командном сервере. Завершив работу, он уничтожает следы своего присутствия и удаляет себя из системы.

Исследователю не удалось с уверенностью определить, чем является его находка — результатом эволюции Arkei или его форком. По словам @fumik0, новая угроза вполне реальна и активно развивается, регулярно получая обновления. Анализу был подвергнут образец, версия которого указана как 4.1; в отличие от Arkei, он может воровать данные из браузера Tor и 2FA-приложений, однако Vidar пока недоступны такие цели предшественника, как Steam и Skype, хотя в файле конфигурации эти опции предусмотрены. Тем не менее, YARA пока идентифицирует Vidar как Arkei. Последний все еще доступен на черном рынке и продолжает получать обновления, хотя его разработчики уже пообещали, что версия 10 будет последней.

Категории: Аналитика, Вредоносные программы