کمپین جدیدی از بدافزار Vidar 2.0 در حال گسترش است که از طریق چیتهای جعلی بازی در پلتفرمهایی مانند GitHub و Reddit منتشر میشود. بدافزار Vidar 2.0 که در دسته infostealer قرار میگیرد، از گیمرهایی که برای کسب برتری در بازیهایی مانند Fortnite و Counter‑Strike به دنبال چیتهای رایگان هستند سوءاستفاده کرده و اطلاعات حساسی مانند رمزارزها، توکنهای ورود و فایلهای شخصی آنها را سرقت میکند.
بر اساس تحقیقات تیم امنیتی Acronis Threat Research Unit (TRU)، این کمپین بهطور خاص گیمرهای جوان را هدف قرار داده است؛ افرادی که ممکن است هشدارهای امنیتی را نادیده بگیرند و به دنبال چیتهای بازی رایگان برای افزایش برتری خود در بازیها باشند.
نحوه عملکرد کمپین توزیع بدافزار Vidar 2.0: سوءاستفاده از چیتهای جعلی بازی
در این کمپین، مهاجمان از تصاویر حرفهای و طراحیهای جذاب در GitHub استفاده میکنند تا لینکهای مخرب خود را پنهان کنند. سپس این لینکها از طریق Reddit و Discord به گیمرها ارسال میشوند تا آنها را به دانلود چیتهای جعلی بازی ترغیب کنند.
این چیتهای جعلی بازی معمولاً از کاربران میخواهند که نرمافزار آنتیویروس خود را غیرفعال کنند تا عملکرد بدافزار بهدرستی انجام شود. بسیاری از این ابزارهای چیت مانند بدافزارها عمل کرده و به راحتی سیستم امنیتی بازی را دور میزنند. به همین دلیل، قربانیان معمولاً هشدارهای امنیتی را نادیده گرفته و کنترل سیستم خود را به مهاجمان میدهند.
مقیاس واقعی کمپین و استفاده از PowerShell برای نصب مخفی بدافزار
محققان امنیتی اعلام کردهاند که ابعاد واقعی این کمپین احتمالاً بسیار بزرگتر از آن چیزی است که تاکنون شناسایی شده است. در بررسیهای اولیه، صدها صفحه مخرب در GitHub شناسایی شده، اما برآورد میشود که تعداد واقعی آنها ممکن است به هزاران صفحه برسد.
مهاجمان برای نصب بدافزار Vidar 2.0 از اسکریپتهای PowerShell استفاده میکنند تا فایل مخرب را بهصورت مخفیانه دانلود و اجرا کنند. پس از آلودگی سیستم، بدافزار بهگونهای تنظیم میشود که با هر بار ورود کاربر به سیستم بهطور خودکار اجرا شود و در صورت شناسایی محیطهای شبیهسازیشده مورد استفاده محققان امنیتی، از فعال شدن خودداری کند. این تکنیکها به بدافزار کمک میکنند تا از شناسایی و تحلیل توسط محققان امنیتی جلوگیری کند.
بازنویسی کامل بدافزار Vidar 2.0 و افزایش سرعت و پنهانکاری
تحقیقات Acronis نشان میدهد که Vidar 2.0 از نظر فنی بهطور کامل بازنویسی شده است. نسخه جدید این بدافزار C++ به زبان C بازنویسی شده است؛ تغییری که باعث شده Vidar 2.0:
- سرعت اجرای بدافزار بیشتر شود.
- قابلیت پنهانکاری بیشتری داشته باشد.
- ردپای کمتری در سیستم قربانی باقی بگذارد.
بدافزار Vidar اولین بار در سال 2018 شناسایی شد، اما پس از تعطیلی رقبای اصلی خود مانند Lumma و Rhadamanthys، فعالیتهای آن دوباره شدت گرفته است.
مدل فعالیت Malware-as-a-Service و قابلیتهای سرقت اطلاعاتVidar 2.0
Vidar 2.0 در قالب Malware-as-a-Service (MaaS) ارائه میشود که به مجرمان سایبری این امکان را میدهد که با پرداخت هزینهای بین 130 تا 750 دلار، از این بدافزار برای اجرای کمپینهای سرقت اطلاعات استفاده کنند.
نسخه جدید Vidar 2.0 Infostealer هدفهای مختلفی دارد و اطلاعات حساس زیادی را از سیستمهای قربانیان سرقت میکند:
- کیفپولهای رمزارزی مانند Monero.
- توکنهای ورود برای سرویسهای مهم مانند Discord، Steam و Telegram.
- اطلاعات مرتبط با Microsoft Azure و FileZilla.
سرقت چنین اطلاعاتی میتواند به مهاجمان این امکان را بدهد که به شبکههای سازمانی محل کار قربانی دسترسی پیدا کنند.
سرقت فایلها و اسکرینشات از سیستم قربانی
بدافزار Vidar 2.0:
- از دسکتاپ کاربر اسکرینشات با نام jpg تهیه میکند.
- فایلهایی را از پوشههای Documents و Downloads کپی میکند.
این اطلاعات میتواند شامل اطلاعات شخصی، اسناد کاری و اطلاعات حساس دیگری باشد که به مهاجمان کمک میکند تا به دادههای بیشتری دسترسی پیدا کنند.
استفاده از Telegram و Steam برای دریافت دستورات مخفی
بدافزار Vidar 2.0 برای کاهش احتمال شناسایی، از رباتهای Telegram و پروفایلهای Steam به عنوان محل دریافت دستورات مخفی استفاده میکند.
این تکنیک ارتباطی که با عنوان dead drop شناخته میشود، به مهاجمان امکان میدهد دستورهای خود را بهصورت مخفیانه دریافت کنند و بدافزار نیز بدون جلب توجه به فعالیت خود ادامه دهد.
چرا گیمرهای جوان هدف اصلی این حمله هستند؟
محققان امنیتی اشاره کردهاند که چند عامل باعث شده گیمرهای جوان هدف اصلی این کمپین باشند:
- تمایل بالا به استفاده از چیتهای بازی رایگان.
- بیتوجهی به هشدارهای امنیتی.
- عدم توانایی در خرید نسخههای پولی ابزارها.
- خجالت از گزارش حمله به دلیل استفاده از چیتهای بازی.
هشدار محققان امنیتی
محققان تأکید میکنند کاربران باید نرمافزارها و ابزارهای موردنیاز خود را تنها از منابع رسمی و قابلاعتماد دانلود کرده و از دانلود چیتها یا ابزارهای رایگان از منابع ناشناس خودداری کنند؛ زیرا چنین فایلهایی ممکن است حاوی بدافزارهایی مانند Vidar 2.0 باشند.
