Vidar恶意广告攻击运作机制

研究人员近期发现名为Vidar的信息窃取程序，其作为多阶段恶意广告攻击的组成部分，与GandCrab勒索软件形成双重攻击载荷。该攻击通过以下流程实施：

1. 恶意广告感染终端设备
2. 下载Vidar窃取敏感信息
3. 同步部署GandCrab实施文件加密

攻击特征与目标定位

• 地理排除策略：攻击代码主动避开俄罗斯、白俄罗斯等前苏联国家终端
• 传播渠道：主要分布在Torrent种子站与流媒体平台广告位
• 模块化架构：恶意功能组件可独立更新，保持攻击灵活性

企业防护方案

1. 终端安全基线：

   • 部署行为检测型杀毒软件
   • 强制应用白名单策略
   • 定期验证安全控制措施有效性

2. 应急响应要点：

   • 完整取证分析感染终端
   • 检查是否存在后门漏洞
   • 参照Malwarebytes发布的威胁指标(IoC)进行排查

3. 持续监控：

   • 建立恶意广告流量识别机制
   • 监控异常进程创建行为
   • 实施网络层载荷检测

专业建议：低风险容忍企业应彻底禁止非授权代码执行，并对所有异常活动启动三级调查流程。