Source: https://www.darkreading.com/endpoint-security/vidar-infostealer-back-with-vengeance
🛡 概要
Vidarインフォステーラーは、2018年に初めて発見されて以来、その手法を進化させてきました。最近の研究によれば、Vidarは新たな難読化技術を用い、より高度なステルス性と持続性を持つようになっています。特に、暗号化されたコマンド&コントロールチャンネルや、Living-off-the-Land Binaries(LOLBins)の悪用が目立ちます。このマルウェアは、フィッシングメールや悪意のあるウェブサイトを介して広がり、ユーザーの信頼を悪用して基本的な防御を回避することが多いです。
🔍 技術詳細
Vidarは、感染したユーザーの環境から機密情報を取得するために、複雑な技術を駆使します。感染後、PowerShellスクリプトがVidarバイナリと他のスクリプトを読み込み、様々なコンポーネントを実行します。CVEやCVSSに関する具体的な情報は見つかりませんでしたが、Vidarの技術的な特徴として、カスタム関数Download-Reliable()を使用し、通信を隠すためにトラフィックを「PowerShell」として偽装します。また、エラーを静かに抑制し、ログを減らすことで、攻撃者の注意を引かないようにしています。さらに、Windows Defenderの例外を追加し、ユーザーログイン時にマルウェアを起動するスケジュールタスクを作成することで持続性を確保します。
⚠ 影響
Vidarインフォステーラーは、個人ユーザーや企業環境に対して重大なリスクをもたらします。特に、金融情報や認証トークンなどの機密データが盗まれる可能性が高く、これにより経済的損失やプライバシーの侵害が発生します。Vidarはその進化した手法により、従来の防御策を容易に回避するため、感染リスクは高まっています。また、マルウェアの持続性とステルス性から、発見と除去が難しくなることも懸念されます。
🛠 対策
Vidarから自分自身を守るためには、いくつかの対策が必要です。まず、フィッシングメールや悪意のあるリンクから身を守るため、最新のソーシャルエンジニアリング技術に注意を払うことが重要です。さらに、プロセス監視やネットワーク異常検知、迅速な脅威インテリジェンスの導入が推奨されます。PowerShellの実行ポリシーを厳格に設定し、DNSフィルタリングやファイアウォール、エンドポイント検出と応答(EDR)などのセキュリティ機能も有効です。これらの多層防御戦略を実施することで、Vidarの脅威に対抗することができます。
