Badacze z Aryaka Threat Research Lab ostrzegają przed nową falą kampanii z użyciem złośliwego oprogramowania Vidar, wyspecjalizowanego w kradzieży danych. Malware, sprzedawany w modelu „as a service”, ponownie uderza w użytkowników Windows, koncentrując się na danych przechowywanych w przeglądarkach internetowych.
Celem ataków są m.in. hasła, ciasteczka, tokeny autoryzacyjne oraz portfele kryptowalut. Zgromadzone informacje umożliwiają cyberprzestępcom przejęcie dostępu do aplikacji SaaS czy konsol chmurowych – nawet w środowiskach chronionych przez wieloskładnikowe uwierzytelnianie.
Vidar przenika do systemów najczęściej poprzez phishing lub pobieranie plików z niepewnych źródeł (ang. shady downloads). Ukrywa swoje instrukcje sterujące na ogólnodostępnych stronach, a następnie przesyła wykradzione dane przez szyfrowany ruch HTTPS, co utrudnia wykrycie incydentu tradycyjnymi narzędziami bezpieczeństwa.
Kto jest najbardziej narażony:
- zespoły intensywnie korzystające z aplikacji webowych i zapisujące hasła w przeglądarkach,
- pracownicy mobilni, kontraktorzy, działy sprzedaży i finansów,
- organizacje z niespójną polityką bezpieczeństwa między oddziałami i pracownikami zdalnymi.
Konsekwencje biznesowe obejmują m.in. ryzyko nadużyć finansowych, wycieku danych klientów i dokumentacji wewnętrznej oraz konieczność kosztownej rotacji poświadczeń i sesji użytkowników.
Aryaka wskazuje, że skuteczną ochronę zapewnia podejście oparte na dostępie zero-trust i monitorowaniu ruchu wychodzącego. Rozwiązania zintegrowane w ramach Unified SASE (m.in. Secure Web Gateway, CASB/DLP oraz NGFW/IPS) pozwalają identyfikować i blokować ciche kampanie takie jak Vidar.
Pełny raport z analizą techniczną i wskaźnikami zagrożeń dostępny jest na stronie Aryaka.
