Os atores por trás do malware Vidar fizeram mudanças em sua infraestrutura de backend, indicando tentativas de reequipar e ocultar seu rastro online em resposta a divulgações públicas sobre seu modus operandi.
"Ameaças do Vidar continuam a rotacionar sua infraestrutura de IP de backend, favorecendo provedores na Moldávia e Rússia", disse a empresa de cibersegurança Team Cymru em uma nova análise compartilhada com o site The Hacker News.
Vidar é um information stealer comerciais que está ativo desde o final de 2018.
É também um fork de outro malware stealer chamado Arkei e é oferecido à venda entre US$ 130 e US$ 750, dependendo do nível de assinatura.
Normalmente distribuído por meio de campanhas de phishing e sites que anunciam software craqueado, o malware vem com uma ampla gama de capacidades para coletar informações sensíveis de hosts infectados.
Vidar também foi observado sendo distribuído por meio de anúncios do Google Ads e um carregador de malware chamado Bumblebee.
Team Cymru, em um relatório publicado em janeiro, observou que "os operadores do Vidar dividiram sua infraestrutura em duas partes, uma dedicada a seus clientes regulares e outra para a equipe de gerenciamento, e também potencialmente para usuários premium / importantes".
Um domínio-chave usado pelos atores do Vidar é my-odin, que serve como destino único para gerenciar o painel, autenticar afiliados e compartilhar arquivos.
Enquanto anteriormente era possível baixar arquivos do site sem qualquer autenticação, realizar a mesma ação agora redireciona o usuário para uma página de login.
Outra mudança envolve atualizações no endereço IP que hospeda o domínio em si.
Isso inclui a mudança de três IPs até o final de março de 2023, com os atores de ameaças acessando este último usando servidores VPN ao mesmo tempo.
"Usando infraestrutura VPN, que pelo menos em parte também foi utilizada por numerosos outros usuários benignos, é evidente que os atores de ameaças do Vidar podem estar tomando medidas para anonimizar suas atividades de gerenciamento, escondendo-se no ruído geral da Internet", observou o Team Cymru.
A empresa de cibersegurança disse que também detectou conexões de saída para um site legítimo chamado blonk, bem como um host localizado na Rússia.
A infraestrutura do Vidar foi encontrada recebendo mais uma reforma efetiva em 3 de maio de 2023, com a introdução de um novo endereço IP hospedando o domínio my-odin, juntamente com o uso de relays TOR pelos operadores para acessar suas contas e repositórios de malware.
Os resultados "fornecem mais informações sobre a operação 'nos bastidores' do Vidar, demonstrando a evolução de sua infraestrutura de gerenciamento, bem como evidências de medidas tomadas pelos atores de ameaças para potencialmente cobrir seus rastros", disse a empresa.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...