Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новая угроза: Вредоносное ПО Vidar адаптируется к защитным системам

21
2 мин
В феврале 2025 года исследователи по кибербезопасности выявили новую кампанию, связанную с вредоносным ПО Vidar, которая использовала как известные ранее методы, так и современные облачные технологии. В рамках этой кампании злоумышленники применяли алгоритмы генерации доменов (DGA) для динамической генерации вредоносных адресов. В ходе расследования было выявлено 136 основных доменов, связанных с атакой, которая начиналась поздно вечером. Заметной стратегией, характерной для данной операции, стала задержка активации URL-адресов, использованных для распространения полезной нагрузки. Эта полезная нагрузка представляет собой файл JavaScript, в котором реализована обфускация. Тактика задержки активации направлена на минимизацию риска немедленного обнаружения и блокировки со стороны систем безопасности. URL-адреса оставались неактивными на начальном этапе и активировались лишь через несколько часов. Вредоносная программа Vidar также проявила дальнейшее развитие, внедрив сложные методы, приз
Оглавление
Источник: cert-agid.gov.it
Источник: cert-agid.gov.it

В феврале 2025 года исследователи по кибербезопасности выявили новую кампанию, связанную с вредоносным ПО Vidar, которая использовала как известные ранее методы, так и современные облачные технологии. В рамках этой кампании злоумышленники применяли алгоритмы генерации доменов (DGA) для динамической генерации вредоносных адресов.

Основные характеристики обнаруженной кампании

В ходе расследования было выявлено 136 основных доменов, связанных с атакой, которая начиналась поздно вечером. Заметной стратегией, характерной для данной операции, стала задержка активации URL-адресов, использованных для распространения полезной нагрузки. Эта полезная нагрузка представляет собой файл JavaScript, в котором реализована обфускация.

Тактики уклонения от обнаружения

Тактика задержки активации направлена на минимизацию риска немедленного обнаружения и блокировки со стороны систем безопасности. URL-адреса оставались неактивными на начальном этапе и активировались лишь через несколько часов.

Вредоносная программа Vidar также проявила дальнейшее развитие, внедрив сложные методы, призванные усложнить статический анализ и обнаружение. В частности:

  • Метод обработки входных строк, преобразующий их в список целых чисел.
  • Декодирование с помощью операций XOR с фиксированным значением.

Такие подходы значительно затрудняют работу автоматизированных средств безопасности, пытающихся идентифицировать вредоносное ПО.

Расширение угрозы

Вместе с использованием DGA и отложенной активации, вредоносное ПО Vidar демонстрирует переменную полезную нагрузку. После заражения оно способно развертывать дополнительные вредоносные программы из различных семейств, тем самым расширяя масштабы угрозы.

Рекомендации по кибербезопасности

Учитывая все эти изменения, повышение осведомленности о кибербезопасности становится критически важным. Особенно это касается работы с сообщениями через PEC (Posta Elettronica Certificata). Пользователям рекомендуется:

  • Проявлять осторожность при работе с сообщениями, содержащими подозрительные ссылки.
  • Сообщать о любых проблемах напрямую в специальный почтовый ящик для сообщений о вредоносных программах для дальнейшего расследования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая угроза: Вредоносное ПО Vidar адаптируется к защитным системам".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются