Vidar es un troyano usado por ciberdelincuentes para robar datos personales de usuarios infectados, como direcciones IP, historial de navegación, monederos de criptomonedas, contraseñas y mensajes de apps de mensajería, y puede hacer capturas de pantalla y propagar ransomware como GandCrab. Se distribuye a través del exploit kit Fallout, correos electrónicos infectados, anuncios maliciosos y software pirata. Funciona silenciosamente, registra y envía datos robados a un servidor remoto, y se oculta como un proceso en el Administrador de tareas, pudiendo causar problemas de privacidad, pérdida de datos y daños financieros.

Funcionamiento

Vidar es un troyano de tipo infostealer diseñado para extraer una amplia gama de datos personales y confidenciales de los sistemas infectados. Su funcionamiento técnico se puede desglosar en varios pasos:

  1. Distribución e Infección: Vidar se distribuye principalmente a través del exploit kit Fallout, que explota vulnerabilidades en Flash Player y el navegador Internet Explorer. También se propaga mediante correos electrónicos infectados, anuncios maliciosos y software pirata. Una vez que el usuario interactúa con estos vectores de ataque, el exploit kit ejecuta código malicioso que descarga e instala Vidar en el sistema de la víctima.
  2. Persistencia: Tras la instalación, Vidar establece persistencia en el sistema mediante la creación de entradas en el registro de Windows y archivos en directorios de inicio automático. Utiliza técnicas de ofuscación y nombres de procesos similares a los de aplicaciones legítimas para evitar la detección.
  3. Recolección de Datos: Vidar está configurado para recolectar una amplia variedad de datos, incluyendo:
    • Información del sistema: Direcciones IP, detalles del hardware y software.
    • Navegadores web: Historial de navegación, cookies, credenciales almacenadas, y datos de formularios de navegadores populares como Chrome, Firefox, y Tor.
    • Monederos de criptomonedas: Información de monederos digitales y claves privadas.
    • Aplicaciones de mensajería: Datos de aplicaciones como Telegram y otros servicios de mensajería.
    • Capturas de pantalla: Vidar puede tomar capturas de pantalla del sistema de la víctima para obtener información visualmente.
  4. Exfiltración de Datos: Los datos recolectados se almacenan en un archivo de texto, que luego se comprime en un archivo ZIP. Este archivo comprimido se envía a un servidor remoto controlado por los atacantes mediante protocolos HTTP o FTP.
  5. Actualizaciones y Comandos Remotos: Vidar puede recibir comandos de sus operadores para ajustar sus funciones, actualizarse, y descargar módulos adicionales. Esto se gestiona a través de un servidor de comando y control (C2), permitiendo a los atacantes modificar el comportamiento del troyano según sus necesidades.
  6. Capacidades Adicionales: Vidar tiene la capacidad de descargar y ejecutar otros tipos de malware, como ransomware (e.g., GandCrab), convirtiendo el sistema infectado en un punto de distribución para otras amenazas.

Impacto y consecuencias

El impacto y las consecuencias de una infección por el troyano Vidar pueden ser devastadoras tanto para usuarios individuales como para organizaciones. Aquí se describen de manera técnica los efectos potenciales de este malware:

Impacto Técnico:

  1. Robo de Información Sensible:
    • Credenciales: Vidar puede extraer credenciales almacenadas en navegadores web y aplicaciones, lo que permite a los atacantes acceder a cuentas de correo electrónico, redes sociales, y servicios financieros.
    • Monederos de Criptomonedas: La información de monederos digitales puede ser robada, lo que resulta en la pérdida directa de activos financieros.
    • Datos de Navegación: Historial de navegación, cookies y otros datos almacenados pueden ser utilizados para realizar ataques adicionales, como phishing dirigido.
  2. Pérdida de Privacidad:
    • Capturas de Pantalla: Las capturas de pantalla pueden contener información sensible visualmente, como conversaciones privadas, documentos importantes o actividades en tiempo real.
    • Mensajería: La exfiltración de mensajes de aplicaciones de mensajería puede comprometer comunicaciones privadas y secretos comerciales.
  3. Infección y Propagación Adicional:
    • Descarga de Otros Malware: Vidar puede descargar y ejecutar otros tipos de malware, como ransomware (e.g., GandCrab), que cifran los archivos del usuario y solicitan un rescate.
    • Botnets: Los sistemas infectados pueden ser añadidos a redes de bots, permitiendo a los atacantes usar los recursos de la víctima para realizar ataques distribuidos (DDoS), envío de spam, y otras actividades maliciosas.
  4. Persistencia y Resiliencia:
    • Persistencia en el Sistema: Vidar establece mecanismos de persistencia para asegurarse de que se ejecute incluso después de reinicios, complicando su eliminación.
    • Ofuscación: Utiliza técnicas de ofuscación para evadir la detección por parte de software antivirus y de seguridad, lo que prolonga el tiempo que permanece sin ser detectado en el sistema.

Consecuencias Técnicas y Organizativas:

  1. Compromiso de Seguridad:
    • Acceso No Autorizado: El robo de credenciales puede dar lugar a accesos no autorizados a sistemas críticos, bases de datos y servicios en la nube.
    • Compromiso de Redes Internas: Una vez dentro de la red de una organización, Vidar puede usarse como punto de entrada para comprometer otros sistemas y servicios internos.
  2. Daño Financiero:
    • Robo de Fondos: La pérdida directa de fondos debido al robo de credenciales financieras y monederos de criptomonedas.
    • Costos de Remediación: Gastos significativos en la eliminación del malware, restauración de sistemas, y recuperación de datos.
  3. Pérdida de Datos y Confidencialidad:
    • Pérdida de Datos Críticos: Los datos robados pueden incluir información comercial sensible, propiedad intelectual y datos de clientes.
    • Violaciones de Privacidad: La exfiltración de datos personales puede resultar en violaciones de privacidad que dañen la reputación de la organización y conlleven sanciones legales.
  4. Impacto Operacional:
    • Interrupción del Negocio: La necesidad de realizar análisis forenses, limpieza de sistemas y restauración de datos puede interrumpir las operaciones normales del negocio.
    • Pérdida de Confianza: Las violaciones de seguridad pueden erosionar la confianza de los clientes y socios comerciales.
  5. Cumplimiento Normativo:
    • Violaciones Regulatorias: El robo y la exfiltración de datos personales pueden resultar en incumplimientos de regulaciones como GDPR, lo que puede conllevar multas y sanciones.

Origen y motivación

Vidar se originó como una herramienta desarrollada por ciberdelincuentes con la motivación principal de lucrar mediante el robo de información sensible, como credenciales de acceso, datos financieros y monederos de criptomonedas. Este troyano se comercializa en foros clandestinos por un precio de aproximadamente $700, permitiendo a otros delincuentes acceder a una potente herramienta de espionaje y exfiltración de datos. La motivación detrás de Vidar es principalmente económica, facilitando el acceso a información valiosa que puede ser vendida en mercados ilegales o utilizada para realizar fraudes, robos de identidad y ataques adicionales, como la distribución de ransomware.