Falsk Bitdefender webside leverer Vidar datatyv

IT-kriminelle har oprettet et domæne som fungerer som fluepapir på internet søgninger efter "Bitdefender". Det kender man også som blackhat SEO (Search Engine Optimization).

Vidar er en russisk udviklet MaaS (Malware as a Service) som sælges via de sædvanlige blackhatfora og Telegram.

Domænet, som tjener formålet at lokke uforsigtige brugere til at kører Vidar stealer er: (saniteret)
https://bitdefender-app[.]com

Det er hostet bag Cloudflare.

Se skærmdump herunder af den falske Bitdefender webside som leverer den skadelige Vidar Stealer istedet for den lovede gratis version af Bitdefender antivirus til windows:

Download knappen tilbyder en installationspakke fra samme webside (saniteret)
https://bitdefender-app[.]com/dist/install-win-x64-x86.exe

Som hvis downloades og køres vil droppe Vidar Stealer (Microclip) til windows maskinen som injektes i forskellige legitime systemprocesserm, herunder Google "chrome.exe" og flytter trafik hen til en falsk McAfee side der fortæller at maskinen er virusfri. Det sker via (saniteret):

https://syntheti[.]cc

Der så flytter trafik ind på en falsk McAfee side (saniteret):

https://wind-d5y14nuvlg.errolandtessa[.]com

Russisk supporteret Malware as a Service (MaaS)
Vidar er en klassisk datatyv og en videreudvikling af "Arkei" der også er en datatyv. Den seneste version er 8.5. og programmet er udviklet i C++. Alle nye funktionsopdateringer og support foregår på russisk:

Denne Vidar variant gør brug af følgende konfiguration:

Konfigurationen er base64 kodet og dernæst RC4 krypteret.

URL-forkorter adressen oversættes til (saniteret):
https://157.90.25[.]39:5432 og Telegram kontoen "«de17fs»"

Steamprofilen som fremgår i konfigurationen peger videre på (saniteret)
https://65.109.140[.]8

Omfattende datatyveri
Hvis Vidar stealer lander på en windows maskine vil den automatisk høste data fra følgende software og datalokationer:

- Chrome/Firefox/Opera (passwords, kreditkort, cookies og historik)
- Sværm af forskellige cryptowallets
- SMTP og IMAP data
- Passwords til CMS systemer som Wordpress
- CPANEL passwords
- Outlook
- Signal Messenger
- Discord og Telegram tokens
- Steam ssfn filer og konfiguration
- WinSCP og Filezilla
- qtox og Pidgin konfiguration

Grabber funktionen i Vidar henter desuden filer fra følgende mapper:

- %DESKTOP%
- C:\Users\<username>\Documents
- %DRIVE_FIXED% (alle tilgængelige drev)
- %DRIVE_REMOVABLE% (flybare drev)
- %USERPROFILE%
- %APPDATA%
- %LOCALAPPDATA%
- C:\Program Files (x86)
- C:\Program Files
- C:\Users\<username>\Recent

Den napper også andre oplysninger fra maskinen herunder ID, GUID og HWID:
SOFTWARE\Microsoft\Cryptography\MachineGuid, GetCurrentHwProfileA, GetVolumeInformationA.

Derfra gives der nemt adgang til alle indsamlede data via Vidar panelet som ser således ud: