Le voleur Vidar : une étude plus approfondie

Les acteurs malveillants disposent de nombreux outils dans leur arsenal pour voler des informations à des cibles peu méfiantes. Ces dernières années, le voleur Vidar s'est de plus en plus répandu. Ce programme malveillant particulier est très efficace pour infecter furtivement les appareils afin de voler un grand nombre d'informations et de les retransmettre au pirate informatique.

Mais qu'est-ce qu'un voleur Vidar, et comment ses attaques fonctionnent-elles ?

Qu'est-ce qu'un voleur Vidar ?

Les voleurs Vidar (parfois appelés logiciels espions Vidar) sont des types spécifiques de programmes malveillants qui visent à attaquer les appareils et à voler les informations personnelles et les détails des portefeuilles de cryptomonnaie dans le système de l'appareil. Cependant, Vidar est aussi parfois utilisé comme méthode de diffusion de ransomwares sur les appareils.

Bien que les botnets Vidar existent depuis 2018, leurs origines exactes n'étaient pas claires. Lors d'une interview en novembre 2023, les auteurs ont toutefois confirmé que le programme malveillant est une évolution du cheval de Troie Arkei. Il fonctionne comme un programme malveillant en tant que service et peut être acheté directement sur le site Internet du développeur sur le Dark Web.

Le programme malveillant Vidar est particulièrement réputé pour son utilisation de l'infrastructure de commandement et de contrôle (ou communication C2). C'est surtout le cas sur les réseaux sociaux comme Telegram et Mastodon, et plus récemment sur la plateforme de jeux sociaux Steam.

Comment fonctionne le voleur Vidar ?

Vidar utilise généralement les réseaux sociaux pour son infrastructure C2 et dans le cadre de son processus. Bien souvent, l'adresse d'un profil de réseau social particulier sera intégrée au programme malveillant Vidar, et celle-ci comportera l'adresse IP C2 correspondante dans ses spécifications. Le logiciel espion peut ainsi contrôler le profil, notamment en communiquant avec l'adresse IP, en téléchargeant des fichiers et des instructions, voire en installant d'autres programmes malveillants.

Cependant, comme le botnet Vidar est, à la base, un voleur d'informations, sa fonctionnalité première est de récolter des informations confidentielles sur un appareil infecté et d'envoyer ces données au cybercriminel. Il existe de nombreux types d'informations que Vidar peut voler :

• Données du système d'exploitation
• les identifiants ;
• Informations relatives à des cartes de crédit
• Historique des navigateurs
• Cookies des navigateurs
• Logiciel installé sur l'appareil
• Fichiers téléchargés
• Portefeuilles de cryptomonnaies, notamment Exodus, Ethereum, MultiDoge, Atomic, JAXX et ElectronCash
• Captures d'écran
• Emails
• Identifiants FTP

Dans certains cas, lorsque le logiciel Vidar est spécialement utilisé pour installer un programme malveillant sur un appareil, il utilise son infrastructure C2 pour indiquer un lien à partir duquel télécharger le fichier infecté, puis l'exécuter. Le pirate informatique a ainsi accès à l'appareil et peut l'utiliser à ses propres fins ou le vendre sur le Dark Web à d'autres cybercriminels.

Une fois que le fichier est téléchargé sur un ordinateur, celui-ci déploie plusieurs méthodes pour ne pas être détecté. Bien souvent, les voleurs Vidar utilisent un fichier exécutable de grande taille pour éviter d'être détectés par les antivirus. Lors d'analyses approfondies, les experts ont découvert que les échantillons de Vidar contiennent des octets nuls à la fin du fichier (ou des zéros à la fin d'un fichier .exe), ce qui gonfle artificiellement la taille du fichier. Étant donné que le fichier est volumineux, celui-ci dépasse souvent les limites de taille des fichiers prévues par les logiciels anti-malware, qui choisissent alors d'ignorer l'analyse du fichier. En outre, les fichiers Vidar utilisent souvent un codage de chaîne et un chiffrement qui les rendent plus difficiles à analyser par les logiciels de protection. Ils utilisent également des fichiers qui ont été authentifiés par des certificats numériques expirés.

Après avoir infecté l'appareil en question et volé un maximum d'informations, le cheval de Troie Vidar emballe toutes les données dans un fichier ZIP et l'envoie au serveur de commande. Ensuite, le programme malveillant s'autodétruit et supprime toute trace de son existence dans le système de l'appareil. C'est pourquoi il peut être très difficile d'enquêter sur les attaques liées au programme malveillant Vidar.

Comment Vidar se propage-t-il ?

Le programme malveillant Vidar est presque toujours diffusé par le biais d'emails de spam. La cible reçoit généralement un email non sollicité (mais à l'aspect inoffensif) qui ressemble à une facture pour un achat en ligne ou à une confirmation de renouvellement d'abonnement. L'email contient généralement une pièce jointe, que la cible est invitée à ouvrir pour obtenir de plus amples informations. Cependant, le programme malveillant Vidar est intégré à la pièce jointe et lorsque la cible l'ouvre, le programme malveillant est déployé.

Dans la plupart des cas, la pièce jointe est un document Microsoft Office contenant un script de macros. De ce fait, une fois le document ouvert, l'utilisateur est invité à activer l'exécution des macros. Une fois que cette action est effectuée, l'appareil se connecte au serveur du programme malveillant et déclenche le téléchargement du voleur Vidar. Pour pallier les attaques du programme malveillant Vidar, Microsoft a modifié le mode d'exécution des macros.

Les cybercriminels ont alors tout simplement trouvé d'autres façons de propager le cheval de Troie. Les voici :

• Fichiers ISO en pièce jointe : le programme malveillant Vidar peut également être transmis par email sous forme de fichier ISO joint, comme un fichier Microsoft Compiled HTML Help (CHM) infecté et un fichier exécutable « app.exe », qui lance le programme malveillant lors de l'ouverture de la pièce jointe
• Archives .zip : dans un cas particulier, les attaquants se sont fait passer pour la marque de mode H&M et ont envoyé des emails de phishing qui redirigeaient les destinataires vers un dossier Google Drive, à partir duquel ils devaient télécharger une archive .zip pour accéder à un contrat et à des informations de paiement. Le fichier lançait alors l'attaque du voleur Vidar.
• Installateurs frauduleux : les pirates informatiques peuvent intégrer le logiciel espion Vidar dans un programme d'installation frauduleux d'un logiciel authentique que les utilisateurs pourraient vouloir télécharger (comme Adobe Photoshop ou Zoom) et l'envoyer aux victimes sous forme de pièce jointe dans un email de spam.
• Annonces de recherche Google : plus récemment, l'un des moyens les plus courants de faire circuler Vidar est l'utilisation d'annonces de recherche Google qui intègrent le programme malveillant dans leur script. Les pirates informatiques créent des annonces Google qui imitent fidèlement celles d'un éditeur de logiciels officiel. Lorsque des utilisateurs peu méfiants téléchargent ce logiciel et l'exécutent, le programme malveillant s'exécute et infecte leur appareil.
• Associations de ransomwares : dans certains cas, le botnet Vidar a exécuté des attaques en conjonction avec divers ransomwares, comme STOP/Djvu et GandCrab, ou des programmes malveillants comme PrivateLoader et Smoke. Dans ces attaques hautement malveillantes, les deux programmes malveillants ont été propagés ensemble, ce qui a entraîné des infections plus étendues, des vols de données, et des problèmes pour l'utilisateur dont l'appareil est infecté.

Comment se protéger contre le voleur Vidar : 5 conseils essentiels

Le voleur Vidar constitue une menace car il peut non seulement voler les données de l'utilisateur et les informations du système, mais aussi être utilisé pour diffuser d'autres types de programmes malveillants. C'est pourquoi les particuliers et les organisations doivent prendre des mesures pour éviter toute attaque par le cheval de Troie Vidar. Voici cinq mesures préventives qui peuvent s'avérer utiles :

1. Utilisez un antivirus et un logiciel de protection Internet qui surveillent ces types de cybermenaces et les neutralisent.
2. Utilisez des solutions de protection des messageries pour analyser tous les emails entrants et bloquer les messages potentiellement suspects.
3. N'oubliez pas d'appliquer les meilleures pratiques en matière de mots de passe, comme l'utilisation d'un gestionnaire de mots de passe, la création de mots de passe complexes et la modification régulière de ces derniers.
4. Maintenez tous les logiciels et systèmes d'exploitation à jour afin de garantir le déploiement des derniers correctifs de sécurité.
5. Lancez régulièrement des analyses complètes du système sur les ordinateurs pour vérifier si des logiciels espions Vidar ou d'autres infections n'ont pas été détectés et les supprimer.

Ces pratiques doivent s'inscrire dans une stratégie plus large de lutte contre les violations potentielles de la sécurité et les activités malveillantes, y compris l'utilisation d'un réseau privé virtuel (VPN) pour masquer l'adresse IP de l'appareil et chiffrer l'ensemble de l'activité en ligne.

Le voleur Vidar : une menace persistante

Le programme malveillant Vidar est un logiciel espion très technique. Bien que ces attaques commencent souvent par un email de spam, des annonces, un logiciel piraté ou d'autres méthodes, elles sont souvent particulièrement néfastes en raison de la quantité d'informations que Vidar peut voler. Le pirate informatique recueille ainsi une grande quantité d'informations qu'il peut vendre sur le Dark Web ou utiliser pour commettre d'autres délits. Toutefois, en gardant en tête les meilleures pratiques de sécurité concernant Internet et les emails, il est possible de minimiser les risques associés à Vidar et la réussite de ces attaques.

Obtenez Kaspersky Premium et profitez d'UN AN GRATUIT de Kaspersky Safe Kids. Kaspersky Premium a reçu cinq prix AV-TEST pour la meilleure protection, les meilleures performances, le VPN le plus rapide, le contrôle parental approuvé pour Windows ainsi que le meilleur classement pour le contrôle parental Android.

Autres articles et liens connexes :

• Comment se débarrasser d'un programme malveillant ?
• Protection contre les ransomwares : comment assurer la sécurité de vos données en 2024 ?
• Supprimer les ransomwares – Déchiffrement de données : comment éliminer le virus ?
• Détection des programmes malveillants et des failles d’exploitation

Produits et services connexes :

• Kaspersky Standard
• Kaspersky Premium
• Kaspersky Endpoint Security Cloud
• Kaspersky VPN Secure Connection