I cybercriminali che gestiscono il malware Vidar hanno apportato alcune preoccupanti modifiche alla loro creazione.
Si tratta di una sostanziale evoluzione del back-end, con alcune soluzioni specifiche per rendere più difficile l’individuazione dell’agente malevolo. Secondo gli esperti di sicurezza, tali novità sono il risultato della divulgazione del modus operandi di Vidar, con i criminali informatici che hanno dunque dovuto adattare la loro strategia al nuovo scenario.
Vidar è un info-stealer attivo sulla scena dalla fine del 2018. Si tratta di un fork di un altro agente malevolo, noto come Arkei, venduto con la formula malware SaaS a prezzi che spaziano dai 130 ai 750 dollari.
Le vie attraverso cui viene diffuso Vidar sono, nella maggior parte dei casi, campagne di phishing e software piratato. Nonostante ciò, negli ultimi mesi sono state individuate anche Google Ads che contribuivano alla diffusione di questo temibile info-stealer.
Il malware Vidar oggi è molto più difficile da individuare rispetto al passato
Il malware in questione è dotato di un’ampia gamma di funzionalità e, una volta in funzione, dimostra una predilezione per la raccolta di dati sensibili dai computer delle vittime.
Per gestire l’agente malevolo, i cybercriminali utilizzano un sito Web legittimo e a un host, che risulta situato in Russia. Il malware e le sue attività, poi, vengono dirette attraverso un sistema sfrutta anche una Virtual Private Network.
Stando agli esperti di Team Cymru, l’evoluzione di Vidar appare alquanto inquietante “Utilizzando l’infrastruttura VPN, che almeno in parte è stata utilizzata anche da numerosi altri utenti all’oscuro di tutto, è evidente che gli attori delle minacce Vidar potrebbero adottare misure per rendere anonime le loro attività di gestione nascondendosi nel sottobosco di Internet“.
L’intensa attività dei cybercriminali dimostra come i malware moderni non sono un pericolo “statico” e come questi tendono ad adattarsi al contesto in cui operano.