12-05-2025, 05:09 PM
Nombre:
Vidar (Vidar Stealer)
Categoría:
Infostealer (derivado de Arkei)
Fecha de descubrimiento:
Finales de 2018
Comportamiento (lo que hace y archivos que infecta):
Ejemplo de muestra pública (Vidar):
Mitigación con GetOverX Shield v3.0.2.0 o superior:
Vidar (Vidar Stealer)
Categoría:
Infostealer (derivado de Arkei)
Fecha de descubrimiento:
Finales de 2018
Comportamiento (lo que hace y archivos que infecta):
- Roba credenciales de navegadores, cookies, historiales, wallets, datos de mensajería, documentos sensibles, etc.
- Se ha visto distribuido mediante:
- Malvertising en Google con links a software pirata.
- Videos de YouTube que prometen cracks o licencias gratuitas (ej. After Effects, otros programas de pago).
- Paquetes npm maliciosos y otras cadenas de ataque modernas.
- Malvertising en Google con links a software pirata.
- Puede desplegar payloads adicionales (clipper, minero, etc.).
- Copia el payload en carpetas de usuario y agrega entradas en
del registro.Code:Run
- Puede usar configuraciones cifradas para sus C2, cambiándolos con frecuencia.
Ejemplo de muestra pública (Vidar):
Code:
3b58086288fb427694947353bf1eec10e368bcf98cc3cb4c221e676d47c1d6ca- Antivirus:
- Analizar todo contenido descargado desde enlaces de descripción de videos de YouTube que ofrezcan cracks o keygens.
- Configurar análisis automático de cualquier fichero que se ejecute desde la carpeta de descargas sin firma digital válida.
- Usar la función de cuarentena para bloquear binarios de origen dudoso que intenten leer perfiles de navegador.
- Analizar todo contenido descargado desde enlaces de descripción de videos de YouTube que ofrezcan cracks o keygens.
- Firewall:
- Monitorizar conexiones POST/GET en HTTP/HTTPS hacia dominios raros justo después de ejecutar instaladores “gratuitos”.
- En caso de detección, bloquear el tráfico saliente de ese proceso y, si es necesario, aislar el equipo.
- Monitorizar conexiones POST/GET en HTTP/HTTPS hacia dominios raros justo después de ejecutar instaladores “gratuitos”.
- HIPS/EDR:
- Reglas para detectar procesos que enumeren directorios de navegador y ficheros de wallets.
- Configurar acciones automáticas para terminar el proceso y bloquear su hash cuando se detecten estas acciones combinadas con tráfico de exfiltración.
- Reglas para detectar procesos que enumeren directorios de navegador y ficheros de wallets.
- Sandbox:
- Ejecutar cracks en Sandbox, observar si se conecta a C2 o descarga payloads extra.
- No confiar en instaladores empaquetados en archivos
protegidos con contraseña típicos de escenas de piratería.Code:.zip
- Ejecutar cracks en Sandbox, observar si se conecta a C2 o descarga payloads extra.
- Medidas posteriores al incidente:
- Cambiar contraseñas y revocar tokens en servicios sensibles.
- Revisar si el atacante ha usado las credenciales robadas (accesos anómalos a cuentas).
- Reforzar políticas de uso aceptable y bloquear por política el uso de cracks en entornos corporativos.
- Cambiar contraseñas y revocar tokens en servicios sensibles.