Vidar Stealer:隐藏在Steam游戏中的信息窃取恶意软件新变种分析

本文详细分析了Vidar Stealer恶意软件通过伪装成微软Sysinternals工具BGInfo.exe的新攻击手法,包括文件特征对比、内存注入技术、凭证窃取能力,并提供了相关的MITRE ATT&CK技术和IOC指标。

Vidar Stealer:揭示新的欺骗策略

技术博客分析 - Lovely Antonio, Louis Sorita, Jr. 和 Arvin Lauren Tan

Vidar Stealer是一款臭名昭著的信息窃取恶意软件,自2018年首次出现以来,一直被网络犯罪分子用于通过浏览器cookie、存储的凭据、财务信息等窃取敏感数据。随着时间的推移,其分发方法不断演变(源自之前的Arkei木马),适应了不同的攻击向量,如恶意电子邮件附件或恶意广告活动。这款信息窃取器作为恶意软件即服务(MaaS)运作,可以直接从暗网购买。

最近的一个例子是PirateFi,这是一款于2025年2月6日在Steam上发布的免费游戏。该游戏以测试版为幌子,在其文件中隐藏了Vidar Stealer,在安装时感染毫无防备的玩家。这一事件突显了威胁行为者越来越多地针对游戏平台传播恶意软件。

在搜寻Vidar Stealer变种时,我们遇到了一个不寻常的样本,截至2025年3月9日,在VirusTotal上仅有五个检测。低检测率表明可能存在混淆或新变种。有趣的是,G Data将该文件标记为VidarStealer,这引起了我们进一步深入调查的兴趣。

VirusTotal扫描结果

查看VirusTotal中的元数据时,一个令人担忧的细节格外突出:

  • 文件名:BGInfo.exe(合法的Microsoft Sysinternals工具)
  • 签名:Microsoft签名已过期

这是一个立即的危险信号。Sysinternals工具被广泛信任,因此任何异常(如过期签名)都表明该文件不再受有效证书保护,引发了对潜在篡改或未经授权修改的担忧。威胁行为者经常利用过期签名将恶意文件伪装成合法文件,因为他们知道某些安全机制可能仍将其识别为已签名的可执行文件。

什么是BGInfo?为什么它在这里?

BGInfo是微软开发的系统信息工具,被IT专业人员和网络安全分析师广泛使用,用于在桌面背景上直接显示关键系统详细信息(如IP地址、域名和系统运行时间)。这使得安全团队能够快速评估系统配置,而无需手动检查系统属性,使其成为管理和监控企业环境的宝贵工具。

2月25日,在野外观察到一个恶意软件样本,模仿合法二进制文件的创建时间(2025年2月13日)以避免怀疑。攻击者经常利用软件更新分发恶意版本,因为他们知道用户在预期更新时更可能信任并安装更新。通过利用这种时机,威胁行为者增加了其恶意负载被下载和执行的机会。

发现差异:合法与恶意的BGInfo

要确定BGInfo更新是否被破坏,与官方版本直接比较至关重要。由于BGInfo.exe是Microsoft Sysinternals Suite的一部分,与原始文件的已知特征的任何显著偏差都可能表明存在破坏。

关键危险信号包括:

  • 文件大小:官方2.1 MB vs. 恶意10.2 MB(由于额外的隐藏代码/二进制填充而更大)
  • 文件哈希:官方和可疑版本具有不同的加密哈希

恶意软件作者还修改了BGInfo.exe的初始化例程,特别是在处理进程堆以进行未来内存分配时,并将其指向恶意函数,确保文件运行恶意代码而不是预期的BGInfo功能。一个明显的破坏迹象是受感染的版本不会更新桌面壁纸,这是BGInfo的一个关键功能,表明存在问题。

调查Vidar Stealer

通过修改的函数跟踪,会遇到对VirtualAlloc的调用,该调用创建虚拟内存以为恶意代码的下一阶段分配空间,如下图所示。

在将代码加载到分配的内存空间后,预计会跳转到内存地址,这导致恶意软件的下一阶段。

最终,通过malloc创建了另一个分配的内存空间,并且在分配的内存上明显看到文件名(input.exe)和MZ(0x4D 0x5A)字符串(图10)。转储二进制文件导致提取Vidar Stealer。

有趣的是,Vidar Stealer通过修改指向堆栈中RtlUserThreadStart地址的指针来执行,这是一个负责在用户模式下启动线程的关键函数。恶意软件不是允许正常执行,而是将RtlUserThreadStart重定向到Vidar Stealer二进制文件的入口点,从而有效地劫持执行流。

Vidar Stealer的关键能力

我们对这个变种的分析没有发现任何新行为或与先前观察到的版本的偏差。其功能、攻击模式和执行流程与早期样本保持一致,表明此迭代没有重大修改或新策略。其主要负载行为如下:

  • 凭据窃取 – 检查用户系统的重要目录。从浏览器和应用程序提取保存的用户名和密码。
  • 加密货币钱包窃取 – 针对Monero、BraveWallet等钱包。
  • 会话劫持 – 窃取会话令牌,允许攻击者绕过已知流行应用程序(如Steam、Telegram、Discord等)的身份验证。
  • 云和存储数据窃取 – 从Azure、AWS、WinScp、FileZilla和其他服务提取存储的凭据。

结论

Vidar Stealer不断发展,使用新的分发方法和规避技术以保持持续威胁。最近对BGInfo.exe的滥用突显了攻击者如何将恶意软件伪装在受信任的工具中以绕过安全措施。

这强化了持续威胁狩猎、主动监控和深入分析看似良性的二进制文件的必要性。识别细微异常,如过期签名、意外的文件大小差异和异常内存行为,对于发现复杂的恶意软件活动至关重要。

MITRE TTP

  • 伪装:无效代码签名 - T1036.001
  • 伪装:匹配合法名称或位置 - T1036.005
  • 混淆文件或信息:二进制填充 - T1027.001
  • 来自本地系统的数据 - T1005
  • 不安全凭据:文件中的凭据 - T1552.001
  • 来自密码存储的凭据:来自Web浏览器的凭据 - T1555.003
  • Web协议 - T1071.001
  • 通过C2通道渗出 - T1041
  • 进程注入:线程执行劫持 - T1055.003

IOCs

7f59c7261ce53d72cafcba86c3a423f06922f1edb47b419b96d2944af3e7859d – Win32.Trojan-Stealer.VidarStealer. FO2EFU

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次