Zum Hauptinhalt springen

Vidar Stealer: ein tieferer Einblick

Ein Mann sieht eine Vidar-Malware-Warnung auf seinem Laptop.

Schadakteure nutzen viele verschiedene Werkzeuge, um an nützliche Informationen von ahnungslosen Opfern zu kommen. Eines davon ist die Vidar-Malware, die in den letzten Jahren immer häufiger aufgetaucht ist. Diese Malware schleicht sich sehr geschickt auf Geräte ein, ohne dass deren Besitzer sie bemerken, und leitet von dort zahlreiche Informationen an die Angreifer weiter.

Was aber ist eigentlich ein Vidar Stealer und wie funktionieren diese Angriffe?

Was ist ein Vidar Stealer?

Ein Vidar-Stealer, auch Vidar-Malware oder -Spyware genannt, ist eine spezielle Art von Malware, mit der Geräte angegriffen werden, um persönliche Informationen sowie Details von Kryptowährungs-Wallets aus dem Gerätesystem abzugreifen. Gelegentlich wird Vidar aber auch verwendet, um Ransomware auf Geräte zu schmuggeln.

Obwohl es Vidar-Botnetze bereits seit 2018 gibt, ist ihr genauer Ursprung unklar. In einem Interview im November 2023 gaben die Entwickler jedoch selbst an, dass es sich bei der Malware um eine Weiterentwicklung des Arkei-Trojaners handelt. Dieser wird als Malware-as-a-Service angeboten und direkt über die Website des Entwicklers im Darknet vertrieben.

Die Vidar-Malware ist vor allem für ihre Ausbeutung der C&C-Infrastruktur (Command and Control bzw. C2-Kommunikation) bekannt. Meist gehen die Angreifer dabei über soziale Netzwerke wie Telegram und Mastodon, in letzter Zeit aber auch immer häufiger über Steam, eine Internet-Vertriebsplattform für Computerspiele.

Wie funktioniert der Vidar Stealer?

Vidar nutzt in der Regel soziale Medien für seine C&C-Infrastruktur und als Funktionselement. Häufig wird die Adresse eines bestimmten Social Media-Profils in die Vidar-Malware eingebettet, die in den Spezifikationen die passende C&C-IP-Adresse mitbringt. Darüber gelingt es der Spyware die Kontrolle über das Profil und dessen Abläufe zu übernehmen, wie die Kommunikation mit der IP-Adresse, den Download von Dateien und Anweisungen und sogar die Installation weiterer Malware.

Da das Vidar-Botnet jedoch im Kern ein Infostealer ist, besteht seine Hauptfunktion darin, sensible Daten auf einem infizierten Gerät abzugreifen und an die Angreifer weiterzuleiten. Zu den unterschiedlichen Arten von Informationen, auf die Vidar es abgesehen hat, gehören:

  • Betriebssystemdaten
  • Anmeldedaten
  • Kreditkarten- oder Bankkontodaten
  • Browser-Verlauf
  • Browser-Cookies
  • Auf dem Gerät installierte Software
  • Heruntergeladene Dateien
  • Wallets für Kryptowährungen, insbesondere Exodus, Ethereum, MultiDoge, Atomic, JAXX und ElectronCash
  • Screenshots
  • E-Mails
  • FTP-Anmeldeinformationen

In einigen Fällen, in denen Vidar speziell zur Installation von Malware auf einem Gerät verwendet wird, nutzt es seine C&C-Infrastruktur, um einen Link anzubieten, über den eine infizierte Datei heruntergeladen und anschließend ausgeführt wird. Dadurch erhält der Angreifer Zugriff auf das Gerät und kann es für eigene Zwecke nutzen oder im Darknet anderen Cyberkriminellen zum Kauf anbieten.

Nachdem sich die Malware auf einen Computer eingenistet hat, nutzt sie verschiedene Methoden, um unentdeckt zu bleiben. Vidar Stealer nutzen gerne große Exe-Dateien, um der Erkennung durch Antiviren-Scanner zu entgehen. In eingehenden Analysen haben Experten festgestellt, dass Vidar-Malware häufig am Ende der Datei Null-Bytes setzen (oder Nullen am Ende einer Exe-Datei), um die Datei größer erscheinen zu lassen. Denn Anti-Malware-Programme überspringen die Analyse ausführbarer Dateien, wenn sie gewisse Grenzwerte überschreiten. Darüber hinaus verwenden die Angreifer in Vidar-Dateien häufig String-Kodierungen und Verschlüsselung, um der Schutzsoftware die Analyse zusätzlich zu erschweren. Außerdem werden Dateien eingesetzt, die mit abgelaufenen digitalen Zertifikaten authentifiziert wurden.

Nachdem der Vidar-Trojaner das angestrebte Gerät infiziert und so viele Informationen wie möglich abgegriffen hat, packt er alles in eine ZIP-Datei und sendet sie an den Befehlsserver. Anschließend zerstört sich die Malware selbst und verwischt sämtliche Spuren so gründlich, als wäre sie nie im Gerätesystem gewesen. Die Untersuchung eines Angriffs mit Vidar-Malware wird dadurch natürlich ungemein erschwert.

Wie kann sich Vidar ausbreiten?

Vidar-Malware wird fast ausschließlich über Spam-Mails verbreitet. Die Zielperson erhält in der Regel unaufgefordert eine harmlos erscheinende E-Mail, die aussieht wie eine Rechnung für einen Online-Einkauf oder die Bestätigung einer Abonnementverlängerung. Die E-Mail enthält die Aufforderung, einen Anhang zu öffnen, der angeblich weitere Informationen enthält. Beim Öffnen des Anhangs wird jedoch die darin eingebettete Malware ausgeführt und installiert.

In den meisten Fällen handelt es sich dabei um ein Microsoft Office-Dokument mit einem Makroskript. Beim Öffnen des Dokuments wird der Benutzer aufgefordert, der Ausführung von Makros zuzustimmen. Leistet er dem Folge, stellt das Gerät eine Verbindung zum Malware-Server her und lädt den Vidar Stealer herunter. Als Reaktion auf Angriffe durch Vidar-Malware hat Microsoft Änderungen bei der Ausführung von Makros vorgenommen.

Allerdings haben sich die Cyberkriminellen mittlerweile darauf eingestellt und andere Wege zur Verbreitung des Vidar-Trojaners gefunden. Zum Beispiel:

  • ISO-Dateien im Anhang: Vidar-Malware wird mittlerweile auch als ISO-Dateianhang per E-Mail verbreitet, z. B. als infizierte Microsoft CHM-Datei (Compiled HTML Help) oder als ausführbare „app.exe“-Datei, mit der die Malware gleich beim Öffnen des Anhangs gestartet wird.
  • Zip-Archive: In einem Fall traten die Angreifer als Vertreter der Modemarke H&M auf. Mithilfe einer Phishing-Mail lockten sie die Empfänger zu einem Google Drive-Ordner, aus dem diese ein Zip-Archiv mit angeblichen Vertrags- und Zahlungsdaten herunterladen sollten. Über diese Datei wurde dann direkt der Vidar Stealer-Angriff gestartet.
  • Betrügerische Installationsprogramme: Angreifer betten die Vidar-Spyware in das Installationsprogramm einer vermeintlich legitimen Software ein – wie Adobe Photoshop oder Zoom – und senden es als Anhang einer Spam-Mail an die Zielpersonen.
  • Google-Suchanzeigen: In letzter Zeit wird Vidar am häufigsten über Google-Suchanzeigen verbreitet, in deren Skript die Malware eingebettet ist. Der Angreifer schaltet Google-Anzeigen, die denen eines seriösen Softwareherstellers zum Verwechseln ähnlich sehen. Sobald ein ahnungsloser Nutzer diese Software herunterlädt und ausführt, nistet sich die darin eingebettete Malware auf seinem Gerät ein.
  • Kopplung mit Ransomware: In einigen Fällen wurden Vidar-Angriffe zusammen mit unterschiedlichen Ransomware-Programmen wie STOP/Djvu und GandCrab oder Malware wie PrivateLoader und Smoke lanciert. Bei dieser besonders perfiden Angriffsform werden die beiden Schadprogramme gemeinsam verbreitet, was den Umfang der Infektion und des Datendiebstahls noch verschärft und die betroffenen Benutzer vor noch größere Probleme stellt.

So schützen Sie sich vor dem Vidar Stealer: 5 grundlegende Tipps

Der Vidar Stealer gilt als besonders gefährlich, da er sich nicht nur auf gestohlene Benutzerdaten und Systeminformationen beschränkt, sondern auch noch weitere Arten von Malware übertragen kann. Aus diesem Grund müssen Privatpersonen und Unternehmen eigene Maßnahmen ergreifen, um Angriffe durch Vidar-Trojaner abzuwehren. Wir haben für Sie fünf Präventivmaßnahmen zusammenstellt, die dabei helfen können:

  1. Installieren Sie ein Antiviren- und Internet-Schutzsoftware, die diese Art von Cyberbedrohungen aufspürt und neutralisiert.
  2. Setzen Sie E-Mail-Sicherheitslösungen ein, die alle eingehenden E-Mails prüft und potenziell verdächtige Nachrichten blockiert.
  3. Halten Sie sich an bewährte Verfahren für Passwörter, nutzen Sie einen Passwortmanager, vergeben Sie stets komplexe Passwörter und ändern Sie diese regelmäßig.
  4. Halten Sie alle Software und Betriebssysteme auf dem neuesten Stand, damit stets die neuesten Sicherheits-Patches installiert werden.
  5. Lassen Sie regelmäßig Ihren Computern von einer Software untersuchen, damit versteckte Vidar-Spyware oder andere Infektionen aufgespürt und entfernt werden.

Diese Untersuchungen sollten Teil einer umfassenderen Strategie zur Bekämpfung potenzieller Sicherheitsverletzungen und schädlicher Aktivitäten sein, wozu auch die Verwendung eines virtuellen privaten Netzwerks (VPN) gehört, das dafür sorgt, dass die IP-Adresse Ihres Geräts vor neugierigen Blicken geschützt ist und sämtliche Online-Aktivitäten verschlüsselt werden.

Vidar Stealer: eine persistente Bedrohung

Vidar-Malware ist eine technisch ausgeklügelte Spyware. Obwohl diese Angriffe scheinbar harmlos mit einer Spam-Mail, Werbung, gehackter Software oder anderen Mitteln beginnen, macht sie die schiere Menge an Informationen, die Vidar stehlen kann, extrem gefährlich. Denn Angreifer kommen darüber an große Mengen von Informationen, die sie für weitere Straftaten nutzen oder im Darknet verkaufen können. Mithilfe grundlegender bewährter Praktiken für die Internet- und E-Mail-Sicherheit können Benutzer die Bedrohung durch Vidar und seine Erfolgschancen jedoch minimieren.

Holen Sie sich Kaspersky Premium + 1 JAHR GRATIS Kaspersky Safe Kids. Kaspersky Premium erhielt fünf Auszeichnungen von AV-TEST für den besten Schutz, die beste Leistung, das schnellste VPN, die beste Kindersicherung für Windows und die beste Bewertung für die Kindersicherung für Android.

Verwandte Artikel und Links:

Verwandte Produkte und Services:

Vidar Stealer: ein tieferer Einblick

Vidar-Stealer ist eine technische Malware, die Geräte unterwandert und Informationen abgreift. In diesem Beitrag beschreiben wir, wie sie funktioniert und wie Sie eine Infizierung verhindern können.
Kaspersky logo

Weitere interessante Artikel: