Saltar al contenido principal

Análisis en detalle: Vidar Stealer

Un hombre ve la advertencia sobre un malware Vidar en su computadora portátil.

Aquellas personas que realizan acciones maliciosas tienen muchas herramientas en su arsenal para robar información de objetivos que no sospechan lo que está ocurriendo. En los últimos años, el malware Vidar Stealer cobró más popularidad. Este malware es muy efectivo para infectar dispositivos con el objetivo de robar varios tipos de información y reenviarla a quien está detrás del ataque.

Pero ¿qué es el malware Vidar Stealer y cómo funcionan estos ataques?

¿Qué es Vidar Stealer?

El malware Vidar Stealer, también llamado Vidar spyware, es una clase específica de malware que ataca dispositivos y roba información personal y datos de monederos de criptomonedas del sistema de un dispositivo. Sin embargo, Vidar también se utiliza para colocar ransomware en dispositivos.

Aunque las redes de bots Vidar existen desde 2018, se desconoce su origen preciso. De todos modos, en una entrevista de noviembre de 2023, sus autores confirmaron que este malware era una evolución del programa troyano Arkei. Es un malware como servicio y puede adquirirse directamente desde el sitio web del equipo de desarrollo en la web oscura.

El malware Vidar es conocido por la forma en que utiliza la infraestructura de Comando y Control (comunicación C2). Principalmente esto ocurre a través de redes sociales, como Telegram y Mastodon, y en el último tiempo en Steam, la plataforma de videojuegos en línea.

¿Cómo funciona Vidar Stealer?

En general, Vidar utiliza las redes sociales para su infraestructura C2 y las incluye en el proceso. La dirección a un determinado perfil de una red social se suele incluir en el malware Vidar, el cual tendrá la correspondiente dirección IP de C2 en las especificaciones. De este modo, el spyware adquiere el control del perfil, que incluye comunicarse con la dirección IP, descargar archivos e instrucciones e incluso instalar más malware.

De todos modos, dado que la red de bots Vidar es en esencia un ladrón de información, su función principal es recopilar información confidencial del dispositivo infectado y enviar estos datos a las personas detrás del ataque. A continuación, enumeramos los diferentes tipos de información que puede robar Vidar:

  • Datos del sistema operativo
  • Credenciales de inicio de sesión
  • Información bancaria o de tarjetas de crédito
  • Historial de navegación
  • Archivos cookie del navegador
  • Software instalado en el dispositivo
  • Archivos descargados
  • Monederos de criptomonedas (en particular, Exodus, Ethereum, MultiDoge, Atomic, JAXX y ElectronCash)
  • Capturas de pantalla
  • Correos electrónicos
  • Credenciales FTP

En algunos casos, cuando Vidar se emplea para instalar malware en un dispositivo, utiliza su infraestructura de C2 para especificar un vínculo desde donde descargar el archivo infectado y luego iniciarlo. De este modo, el atacante puede acceder al dispositivo y usarlo para sus propios objetivos o puede vender el acceso a más ciberdelincuentes en la web oscura.

Una vez que Vidar se descarga en el dispositivo, este emplea diversos mecanismos para permanecer oculto. Con frecuencia, Vidar Stealer usa un archivo ejecutable grande para evitar ser detectado mediante un análisis antivirus. En análisis minuciosos, los especialistas descubrieron que las muestras de Vidar contenían bytes nulos al final del archivo (o ceros al final de un archivo .exe), lo que agranda el tamaño del archivo de manera artificial. Como el archivo es muy grande, suele superar los límites de un software antimalware y este opta por omitir el análisis del archivo. Además, los archivos de Vidar suelen usar cifrado y codificación de cadenas para dificultar el trabajo de cualquier software de protección. Vidar también utiliza archivos que se autenticaron con certificados digitales caducados.

Después de infectar el dispositivo y robar tanta información como sea posible, el programa troyano Vidar comprime los datos en un archivo .zip y lo envía al servidor de comando. Finalmente, el malware se autodestruye y se elimina todo rastro de su existencia en el sistema del dispositivo. Por este motivo, es muy difícil investigar los ataques del malware Vidar.

¿Cómo se propaga Vidar?

El malware Vidar casi siempre se propaga mediante correos electrónicos de spam. La persona objetivo recibe un correo electrónico no solicitado, pero de apariencia inofensiva, que luce como una factura de una compra en línea o la confirmación de una renovación de suscripción. El correo electrónico suele tener un archivo adjunto, que el usuario debe abrir para obtener más información. Sin embargo, el malware Vidar está incrustado en el adjunto y cuando la persona abre el archivo, el malware se ejecuta.

En general, el archivo adjunto es un documento de Microsoft Office con macros. Por eso, una vez que se abre el documento, se le solicita al usuario que habilite la ejecución de macros. Cuando el usuario obedece, el dispositivo se conecta al servidor del malware y se inicia la descarga de Vidar Stealer. Para mitigar los ataques del malware Vidar, Microsoft modificó la forma en que funciona la ejecución de macros.

Sin embargo, esto solo significó que cada ciberdelincuente debía hallar otra forma de propagar el programa troyano Vidar. Por ejemplo:

  • Archivos adjuntos ISO: el malware Vidar también puede entregarse como un adjunto ISO por correo electrónico, como un archivo Microsoft Compiled HTML Help (CHM) infectado y como un archivo ejecutable "app.exe", que inicia el malware cuando se abre el adjunto.
  • Archivos .zip: en un caso particular, los atacantes se hicieron pasar por la marca de moda H&M para enviar correos electrónicos de suplantación de identidad (phishing) que dirigían a cada persona a una carpeta en Google Drive, desde la cual debía descargar un archivo .zip para acceder a un contrato y los datos de pago. Desde allí, el archivo inicia el ataque de Vidar Stealer.
  • Instaladores fraudulentos: los atacantes pueden incrustar el spyware Vidar en un instalador falso para software legítimo que los usuarios podrían descargar (como Adobe Photoshop o Zoom) y también pueden enviar como adjunto en un correo electrónico de spam.
  • Anuncios de Búsqueda de Google: últimamente, una de las formas más comunes de divulgar Vidar es a través de los anuncios de Búsqueda de Google que pueden tener malware incrustado en el script. Quien esté detrás del ataque crea un anuncio de Google que se parece mucho a los de un editor de software legítimo y cuando alguien, que no sospecha nada, descarga y ejecuta el software, se inicia el malware que infecta el dispositivo.
  • Asociaciones con ransomware: en algunos casos, la red de bots Vidar realizó ataques junto a otros tipos de ransomware, como STOP/Djvu y GandCrab, o malware como PrivateLoader y Smoke. En estos ataques maliciosos, ambos malware se habían propagado en conjunto, lo que provocaba infecciones más expandidas, robos de datos y problemas más graves para los usuarios de los dispositivos infectados.

Cómo protegerte de Vidar Stealer: 5 consejos básicos

Vidar Stealer representa un troyano porque no solo puede usarse para robar datos de usuarios e información de sistemas, sino que también puede propagar más tipos de malware. Por este motivo, las personas y las organizaciones deben tomar ciertas medidas para evitar los ataques del programa troyano Vidar. A continuación, enumeramos cinco medidas preventivas que pueden ser muy útiles:

  1. Usar antivirus y software de protección web que supervise estas clases de ciberamenazas y las neutralice.
  2. Aplicar soluciones de seguridad para correos electrónicos que analicen todos los correos electrónicos entrantes y bloqueen mensajes posiblemente sospechosos.
  3. Recordar las mejores prácticas sobre el uso de contraseñas, que incluyen utilizar un administrador de contraseñas, crear contraseñas complejas y modificarlas con regularidad.
  4. Actualizar todo software y el sistema operativo para garantizar que se apliquen los parches de seguridad más recientes.
  5. Ejecutar análisis completos del sistema con regularidad en las computadoras para buscar spyware Vidar no detectado o cualquier otra infección y eliminarlos.

Estas medidas pueden formar parte de una estrategia más amplia para combatir posibles filtraciones de seguridad y actividades maliciosas, además de utilizar una red privada virtual (VPN) para enmascarar la dirección IP del dispositivo y cifrar toda la actividad en Internet.

Vidar Stealer: una amenaza persistente

El malware Vidar es un spyware muy técnico. A pesar de que estos ataques suelen comenzar con un correo electrónico de spam, un anuncio, un software crackeado u otro recurso similar, suelen ser más perversos debido a la cantidad de información que Vidar puede robar. Es por esto que quien esté detrás del ataque obtiene grandes cantidades de datos para cometer más delitos o venderlos en la web oscura. Sin embargo, si aplicas las mejores prácticas básicas al respecto de la seguridad de correos electrónicos y en Internet, podrás minimizar la amenaza Vidar y el éxito de estos ataques.

Consigue Kaspersky Premium + 1 AÑO GRATIS de Kaspersky Safe Kids. Kaspersky Premium recibió cinco premios AV-TEST a la mejor protección, el mejor rendimiento, la VPN más rápida, el control parental aprobado para Windows y la mejor calificación para el control parental en Android.

Artículos y enlaces relacionados:

Productos y servicios relacionados:

Análisis en detalle: Vidar Stealer

Vidar Stealer es un malware técnico utilizado para infectar dispositivos y robar información. Aquí verás cómo funciona y cómo tomar medidas preventivas.
Kaspersky logo

Artículos relacionados