Vidar Stealer BGInfo-ból
A Vidar Stealer egy hírhedt információtolvaj malware, amely először 2018-ban jelent meg, és azóta is használják kiberbűnözők érzékeny adatok, például böngésző sütik, tárolt hitelesítő adatok és pénzügyi információk megszerzésére. Idővel a terjesztési módszerei fejlődtek; legutóbb a Steam platformon megjelent PirateFi nevű ingyenes játékba ágyazva fedezték fel, amely a telepítés során fertőzte meg a gyanútlan játékosokat.
A G DATA kutatói egy újabb megtévesztési stratégiát azonosítottak, amelyben a támadók a Microsoft Sysinternals eszközét, a BGInfo.exe-t használták fel. A legitim BGInfo egy rendszerinformációs eszköz, amely a rendszer kulcsfontosságú adatait jeleníti meg az asztali háttéren, megkönnyítve ezzel az IT szakemberek munkáját. A támadók egy módosított BGInfo.exe fájlt hoztak létre, amely méretében jelentősen nagyobb volt az eredetinél (10,2 MB szemben a hivatalos 2,1 MB-tal), és amelybe a Vidar Stealer kártékony kódját ágyazták be. Ez a fájl egy lejárt Microsoft aláírással rendelkezett, ami gyanúra adott okot.
A módosított BGInfo.exe futtatásakor a kártékony kód aktiválódott, miközben a legitim program funkciói nem működtek megfelelően, például nem frissítette az asztali hátteret. A Vidar Stealer főbb képességei közé tartozik a hitelesítő adatok ellopása, kriptovaluta pénztárcák megcélzása, munkamenet-eltérítés és felhőszolgáltatásokhoz való hozzáférési adatok megszerzése.
A G DATA megosztotta az azonosításhoz szükséges indikátorokat.
