Toàn bộ cuộc tấn công diễn ra trong vòng một phút.
Một chiến dịch quảng cáo độc hại đa tải và đang diễn ra đang phân phối một kẻ đánh cắp thông tin mới được phát hiện cũng như ransomware GandCrab.
Kẻ đánh cắp thông tin được đặt tên là Vidar, theo tên vị thần Bắc Âu Víðarr, con trai của thần Odin trong thần thoại. Theo nhà nghiên cứu Fumik0, người đã phát hiện ra nó vào tháng 12, Vidar đánh cắp tài liệu, cookie và lịch sử trình duyệt (bao gồm từ Tor), tiền từ nhiều ví tiền điện tử, dữ liệu từ phần mềm 2FA và tin nhắn văn bản, ngoài ra nó có thể chụp ảnh màn hình. Gói này cũng cung cấp các nhà khai thác phần mềm độc hại thông báo Telegram cho các nhật ký quan trọng. Và cuối cùng, các tác nhân đe dọa có thể tùy chỉnh kẻ đánh cắp thông qua hồ sơ, cho phép họ chỉ định loại dữ liệu họ quan tâm.
Giờ đây, các nhà nghiên cứu đã quan sát thấy Vidar được phân phối thông qua bộ khai thác Fallout trước phần mềm ransomware thứ cấp GandCrab – như một phần của chiến dịch quảng cáo độc hại.
“Torrent và các trang web video trực tuyến thường có rất nhiều lượt theo dõi và quảng cáo của họ thường tràn lan và không được kiểm soát kĩ lưỡng” nhà nghiên cứu Malwarebytes Jérôme Segura chi tiết, trong một bài tuần trước . Một kẻ tấn công sẽ sử dụng tên miền quảng cáo lừa đảo đang chuyển hướng những khách truy cập trang web này theo vị trí địa lý và nguồn gốc của họ đến ít nhất hai bộ khai thác khác nhau (Fallout EK và GrandSoft EK), mặc dù trước đây là hoạt động mạnh nhất.
Trong phân tích chiến dịch của mình, các nhà nghiên cứu thấy rằng Vidar sẽ tìm kiếm bất kỳ dữ liệu nào được chỉ định trong cấu hình cấu hình của nó và ngay lập tức gửi lại cho máy chủ chỉ huy và kiểm soát (C2) thông qua yêu cầu HTTP POST không được mã hóa. Điều này bao gồm chi tiết hệ thống cấp cao (thông số kỹ thuật, quy trình đang chạy và các ứng dụng đã cài đặt) và số liệu thống kê về nạn nhân (địa chỉ IP, quốc gia, thành phố và ISP) được lưu trữ trong một tệp có tên information.txt. Tập tin này được đóng gói cùng với dữ liệu bị đánh cắp khác và được nén trước khi được gửi trở lại máy chủ C2.
Sau đó, Vidar có thể tải xuống phần mềm độc hại bổ sung – trong trường hợp này là GandCrab .
Phần mềm này được gọi là tính năng của trình tải và một lần nữa, nó có thể được định cấu hình trong bảng quản trị của Vidar bằng cách thêm URL trực tiếp vào tải trọng, theo Seg Segura giải thích. Tuy nhiên, không phải tất cả các phiên bản của Vidar (được gắn với ID hồ sơ) sẽ tải xuống một tải trọng bổ sung. Trong trường hợp đó, máy chủ sẽ gửi lại phản hồi ‘ok’ thay vì URL.
Nếu nó tải xuống ransomware, các tệp của nạn nhân sẽ được mã hóa và hình nền của máy bị chiếm quyền điều khiển để hiển thị ghi chú cho GandCrab phiên bản 5.04. Tất cả điều này diễn ra với một phút nhiễm Vidar ban đầu, theo nhà nghiên cứu.
Và những kẻ tấn công có thể sử dụng ransomware vì nhiều lý do trong vở kịch của họ, ông Seg Segura giải thích. Ví dụ, có thể là một mồi nhử đơn giản trong đó mục tiêu thực sự là các hệ thống bị hỏng không thể đảo ngược mà không có cách nào để khôi phục dữ liệu bị mất. Nhưng như chúng ta thấy ở đây, nó có thể được kết hợp với các mối đe dọa khác và được sử dụng như một trọng tải cuối cùng khi các tài nguyên khác đã cạn kiệt.
Vì vậy, không chỉ các nạn nhân bị cướp, mà họ còn bị tống tiền để giành lại quyền kiểm soát các tập tin của họ.
Điều gì làm cho sự kết hợp mới lạ và mạnh mẽ này là nỗ lực đa hướng của nó để thiết lập một con đường lây nhiễm. Mike Bittner, giám đốc vận hành và bảo mật kỹ thuật số của The Media Trust, cho biết, khóa người dùng khỏi máy của họ, thông qua email.
Ông nói thêm rằng để tránh việc vô tình tham gia chương trình này, các nhà điều hành và chủ sở hữu của các trang web hỗ trợ quảng cáo nên đảm bảo quảng cáo và trang web của họ không có mã của bên thứ ba độc hại – mà ông thừa nhận là một đơn đặt hàng cao.
Một trang web hỗ trợ quảng cáo có thể có hàng trăm, nếu không phải hàng ngàn mã của bên thứ ba được thực thi bởi các nhà cung cấp mã bên thứ ba thường không xác định, liên tục thay đổi, ông nói. Tuy nhiên, cũng giống như bạn sẽ theo dõi ai vào nhà bạn, bạn nên quét quảng cáo và trang web để xác định và, nếu cần, chấm dứt bất kỳ mã trái phép nào tại nguồn của họ