Los atacantes que buscan perpetrar ofensivas maliciosas cuentan con diversas herramientas entre su arsenal para robar información de personas objetivos que no sospechan lo que ocurre. En los últimos años, Vidar Stealer se ha convertido en un software malicioso muy popular. Este software es muy efectivo para infectar dispositivos a hurtadillas y robar así diversos tipos de información y enviarla a quien esté detrás del ataque.
Pero, ¿qué es Vidar Stealer y cómo funcionan estos ataques?
¿Qué es Vidar Stealer?
Vidar Stealer, también denominado Vidar spyware, es una clase particular de software malicioso que tiene como objetivo atacar dispositivos y robar información personal y datos sobre carteras de criptomonedas en el sistema del dispositivo. Sin embargo, Vidar también se suele utilizar para colocar ransomware en los dispositivos.
A pesar de que las redes de bots Vidar existen desde 2018, su origen no se conoce con certeza. De todos modos, en una entrevista en noviembre de 2023, quienes estaban detrás de este software malicioso confirmaron que se trataba de una evolución del programa troyano Arkei. Es un malware como servicio y puede adquirirse directamente desde el sitio web del equipo de desarrollo en la red oscura.
El software malicioso Vidar es reconocido por la forma en que utiliza la infraestructura de mando y control (o también denominada comunicación C2). Se propaga mayoritariamente a través de redes sociales, como Telegram y Mastodon, pero en el último tiempo también mediante la plataforma de videojuegos en línea Steam.
¿Cómo funciona Vidar Stealer?
En general, Vidar utiliza una red social para la infraestructura de C2 y además la incluye dentro del proceso. La dirección a un perfil de red social específico suele incluirse en el software malicioso Vidar, que tendrá la correspondiente dirección IP de C2 en las especificaciones. De este modo, el spyware toma control del perfil y puede comunicarse con la dirección IP, descargar archivos e instrucciones e, incluso, instalar otro software malicioso.
Sin embargo, dado que la red de bots Vidar, en esencia, roba información, su función principal es recopilar datos confidenciales del dispositivo infectado y enviarlos a quien esté detrás del ataque. Vidar puede robar diversos tipos de datos:
- Datos del sistema operativo
- Credenciales de inicio de sesión
- Información de tarjetas bancarias o de crédito
- Historial de navegación
- Archivos cookie de navegación
- Software instalado en el dispositivo
- Archivos descargados
- Carteras de criptomonedas, en particular Exodus, Ethereum, MultiDoge, Atomic, JAXX y ElectronCash
- Capturas de pantalla
- Correos electrónicos
- Credenciales FTP
En algunos casos, cuando Vidar se emplea específicamente para instalar software malicioso en un dispositivo, utiliza una infraestructura de C2 a fin de especificar un enlace desde el cual descargará el archivo infectado para después ejecutarlo. De este modo, quien esté detrás del ataque podrá acceder al dispositivo y usarlo para sus propios objetivos o vender dicho acceso a más ciberdelincuentes en la red oscura.
Después de que se descargue en un equipo, utilizará diversos métodos para permanecer oculto. A menudo, el software malicioso Vidar Stealer se oculta como un archivo ejecutable de gran tamaño para evitar ser detectado mediante un análisis antivirus. En análisis más detallados, especialistas han descubierto que las muestras de Vidar contenían bytes nulos al final del archivo (o varios cero al final de un archivo .exe), que aumenta, de forma artificial, el tamaño del archivo. Como el tamaño del archivo es muy grande, suele superar los límites de archivos que los software antimalware pueden controlar, por lo que este termina por omitir su análisis. Además, los archivos de Vidar emplean cifrado y codificación de cadenas para que sea difícil su análisis mediante cualquier software de protección. También emplea archivos que se han autenticado con certificados digitales caducados.
Después de infectar el dispositivo y robar tantos datos como sea posible, el programa troyano Vidar comprime todos los datos en un archivo .zip y lo envía al servidor de mando. A continuación, el software malicioso se destruye y elimina toda evidencia de su existencia en el sistema del dispositivo. Es por esta razón que puede ser muy difícil investigar ataques del software malicioso Vidar.
¿Cómo se propaga el software malicioso Vidar?
Vidar casi siempre se propaga mediante correos electrónicos no deseados. La víctima suele recibir un correo electrónico no solicitado, pero de apariencia inofensiva, que se asemeja a una factura de una compra en línea o a la confirmación de una renovación de suscripción. El correo suele tener un archivo adjunto, que la víctima debe abrir para obtener más información. El software malicioso Vidar está incrustado en el archivo adjunto y, cuando la víctima lo abre, Vidar logra ejecutarse.
Con mucha frecuencia, el archivo adjunto suele ser un documento de Microsoft Office con un script de macros. Dadas sus características, cuando el archivo se abre, se le solicita al usuario que active la ejecución de macros. Al activarla, el dispositivo se conecta al servidor del malware e inicia la descarga de Vidar Stealer. Para mitigar los ataques de Vidar Stealer, Microsoft ha cambiado la forma en que funciona la ejecución de macros.
Sin embargo, lo único que esto ha significado es que los ciberdelincuentes debieron hallar nuevas maneras de propagar el programa troyano Vidar. Entre ellas:
- Archivos adjuntos ISO: el software malicioso Vidar también puede enviarse como un archivo adjunto ISO a través de correos electrónicos, como un archivo Microsoft Compiled HTML Help (CHM) infectado y un archivo "app.exe" ejecutable, que inicia el software malicioso al abrir el archivo adjunto.
- Archivos comprimidos .zip: en un caso particular, los atacantes se hicieron pasar por la marca de moda H&M para enviar correos electrónicos de phishing que redirigían a cada destinatario a una carpeta en Google Drive, desde donde debían descargar un archivo comprimido .zip para acceder a un contrato y los datos de pago. Desde allí, el archivo inicia el ataque de Vidar Stealer.
- Instaladores fraudulentos:los atacantes pueden integrar el spyware Vidar en un instalador fraudulento de software legítimo que los usuarios podrían descargar, como Adobe Photoshop o Zoom, y entregar a sus destinatarios como archivo adjunto en un correo electrónico no deseado.
- Anuncios de Búsqueda de Google: en el último tiempo, una de las formas más comunes de propagar Vidar es a través de los anuncios de Búsqueda de Google que tienen software malicioso en su script. A continuación, quien está detrás del ataque crea un anuncio de Google que se asemeja demasiado al de un editor de software real y cuando los usuarios que no sospechan lo que ocurre descargan y ejecutan el software malicioso, este se ejecuta e infecta el dispositivo.
- Asociaciones de ransomware: en algunos casos, la red de bots Vidar ha perpetrado ataques junto con otros tipos de ransomware, como STOP/Djvu y GandCrab, o malware como PrivateLoader y Smoke. En estos ataques maliciosos, ambos software maliciosos se propagan a la vez, lo que provoca infecciones más extendidas, robo de datos y mayores problemas para el usuario del dispositivo infectado.
Cómo protegerte de Vidar Stealer: 5 consejos esenciales
Vidar Stealer es un programa troyano porque no solo puede robar datos del usuario e información del sistema, sino que también puede usarse para propagar otros tipos de software malicioso. Por este motivo, las personas y las organizaciones deben tomar algunas medidas para protegerse de ataques del programa troyano Vidar. A continuación, enumeramos cinco medidas preventivas que pueden ser útiles:
- Usa un antivirus y un software de protección web que supervise el dispositivo en busca de estas clases de ciberamenazas y las neutralice.
- Utiliza soluciones de seguridad para correos electrónicos que analicen todos los correos entrantes y bloqueen mensajes posiblemente sospechosos.
- Recuerda aplicar las mejores prácticas sobre el uso de contraseñas, que incluyen usar un administrador de contraseñas, crear contraseñas complejas y modificarlas con regularidad.
- Mantén todo software y sistema operativo actualizado para asegurarte de aplicar los parches de seguridad más recientes.
- Ejecuta análisis completos del sistema con regularidad en ordenadores para buscar cualquier spyware Vidar y otras infecciones no detectadas, y eliminarlas.
Estas medidas deberían formar parte de una estrategia más amplia para luchar contra posibles filtraciones de seguridad y actividades maliciosas, que implican también usar una red privada virtual (VPN) para enmascarar la dirección IP del dispositivo y cifrar toda la actividad en línea.
Vidar Stealer: una amenaza persistente
El software malicioso Vidar es un spyware muy técnico. A pesar de que estos ataques suelen comenzar con un simple correo electrónico no deseado, un anuncio, software crackeado o algún otro recurso similar, suelen ser muy perversos debido a la gran cantidad de información que Vidar puede robar. Esto le brinda a quien esté detrás del ataque una gran cantidad de información para cometer otros delitos o venderla en la red oscura. Sin embargo, si aplicas las mejores prácticas básicas de seguridad en lo que refiere a correos electrónicos e Internet, será posible minimizar la amenaza que representa Vidar y el éxito de sus ataques.
Consigue Kaspersky Premium + 1 AÑO GRATIS de Kaspersky Safe Kids. Kaspersky Premium ha recibido cinco premios AV-TEST a la mejor protección, el mejor rendimiento, la VPN más rápida, el control parental aprobado para Windows y la mejor calificación para el control parental en Android.
Artículos y vínculos relacionados:
- ¿Cómo eliminar el malware?
- Protección contra el ransomware: cómo mantener sus datos seguros en 2024
- Eliminación de ransomware | Descifrar los datos: cómo eliminar el virus
- Detección de software malicioso y exploits
Productos y servicios relacionados:
