Vidar Stealer:隐藏在Steam游戏中的信息窃取恶意软件分析

Vidar Stealer:揭露新型欺骗策略

技术博客
作者:Lovely Antonio, Louis Sorita, Jr. 和 Arvin Lauren Tan

Vidar Stealer是一款臭名昭著的信息窃取恶意软件,自2018年首次出现以来,网络犯罪分子一直利用它通过浏览器cookie、存储的凭据、财务信息等窃取敏感数据。随着时间的推移,其分发方法不断演变(源自早期的Arkei木马),适应了恶意电子邮件附件或恶意广告活动等不同攻击媒介。这款信息窃取器作为恶意软件即服务(MaaS)运作,可以直接从暗网购买。

最近的一个例子是2025年2月6日在Steam上发布的免费游戏PirateFi。该游戏以测试版为幌子,在文件中隐藏了Vidar Stealer,安装时会感染毫无戒心的玩家。这一事件突显了威胁行为者越来越多地针对游戏平台传播恶意软件。

在搜寻Vidar Stealer变种时,我们发现了一个不寻常的样本,截至2025年3月9日,VirusTotal上仅有5次检测。低检测率表明可能存在混淆或新变种。有趣的是,G Data将该文件标记为VidarStealer,这引起了我们进一步深入调查的兴趣。

VirusTotal扫描结果

查看VirusTotal中的元数据时,一个令人担忧的细节引人注目:

  • 文件名:BGInfo.exe(合法的Microsoft Sysinternals工具)
  • 签名:Microsoft签名已过期

这是一个直接的危险信号。Sysinternals工具被广泛信任,因此任何异常(如签名过期)都表明该文件不再受有效证书保护,引发了潜在篡改或未经授权修改的担忧。威胁行为者经常利用过期签名将恶意文件伪装成合法文件,因为他们知道某些安全机制可能仍会将其识别为已签名的可执行文件。

什么是BGInfo?为什么它会出现?

BGInfo是微软开发的系统信息工具,被IT专业人员和网络安全分析师广泛用于在桌面背景上直接显示关键系统细节(如IP地址、域名和系统运行时间)。这使得安全团队无需手动检查系统属性即可快速评估系统配置,成为管理和监控企业环境的宝贵工具。

2月25日,观察到一个恶意软件样本,模仿合法二进制文件的创建时间(2025年2月13日)以避免怀疑。攻击者经常利用软件更新分发恶意版本,因为他们知道用户在预期更新时更可能信任并安装更新。通过利用这种时机,威胁行为者增加了其恶意负载被下载和执行的机会。

发现差异:合法与恶意BGInfo

要确定BGInfo更新是否被篡改,与官方版本直接对比至关重要。由于BGInfo.exe是Microsoft Sysinternals Suite的一部分,任何与原始文件已知特征的显著偏差都可能表明已被篡改。

关键危险信号包括:

  • 文件大小:官方2.1 MB vs. 恶意10.2 MB(由于额外的隐藏代码/二进制填充而更大)
  • 文件哈希:官方和可疑版本具有不同的加密哈希

恶意软件作者还修改了BGInfo.exe的初始化例程,特别是处理进程堆以进行未来的内存分配,并将其指向恶意函数,确保文件运行恶意代码而非预期的BGInfo功能。一个明显的篡改迹象是受感染的版本不会更新桌面壁纸(这是BGInfo的一个关键功能),表明存在问题。

调查Vidar Stealer

跟踪修改后的函数,会遇到对VirtualAlloc的调用,该调用创建虚拟内存以为下一阶段的恶意代码分配空间。在将代码加载到分配的内存空间后,预计会跳转到内存地址,从而进入恶意软件的下一阶段。

最终,通过malloc创建了另一个分配的内存空间,并且在分配的内存中明显可见文件名(input.exe)和MZ(0x4D 0x5A)字符串。转储二进制文件导致提取出Vidar Stealer。

有趣的是,Vidar Stealer通过修改指向栈中RtlUserThreadStart地址的指针来执行,RtlUserThreadStart是负责在用户模式下启动线程的关键函数。恶意软件不是允许正常执行,而是将RtlUserThreadStart重定向到Vidar Stealer二进制文件的入口点,从而有效地劫持执行流。

Vidar Stealer的关键功能

我们对这一变种的分析未发现任何新行为或与之前观察到的版本的偏差。其功能、攻击模式和执行流程与早期样本一致,表明此迭代未进行重大修改或采用新策略。其主要负载行为如下:

  • 凭据窃取:检查用户系统中的重要目录。从浏览器和应用程序中提取保存的用户名和密码。
  • 加密货币钱包窃取:针对Monero、BraveWallet等钱包。
  • 会话劫持:窃取会话令牌,允许攻击者绕过已知流行应用程序(如Steam、Telegram、Discord等)的身份验证。
  • 云和存储数据窃取:从Azure、AWS、WinScp、FileZilla等服务中提取存储的凭据。

结论

Vidar Stealer不断发展,使用新的分发方法和规避技术以保持持久威胁。最近对BGInfo.exe的滥用突显了攻击者如何在受信任的工具中伪装恶意软件以绕过安全措施。

这强调了持续威胁搜寻、主动监控和对看似无害的二进制文件进行深入分析的必要性。识别细微异常(如过期签名、意外的文件大小差异和异常内存行为)对于发现复杂的恶意软件活动至关重要。

MITRE TTP

  • 伪装:无效代码签名 - T1036.001
  • 伪装:匹配合法名称或位置 - T1036.005
  • 混淆文件或信息:二进制填充 - T1027.001
  • 来自本地系统的数据 - T1005
  • 不安全凭据:文件中的凭据 - T1552.001
  • 来自密码存储的凭据:来自Web浏览器的凭据 - T1555.003
  • Web协议 - T1071.001
  • 通过C2通道外泄 - T1041
  • 进程注入:线程执行劫持 - T1055.003

IOCs

7f59c7261ce53d72cafcba86c3a423f06922f1edb47b419b96d2944af3e7859d – Win32.Trojan-Stealer.VidarStealer. FO2EFU
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-07-31 16:18  qife  阅读(3)  评论(0)    收藏  举报