Kampania malvertisingowa z Vidar Infostealer uderza w sektor SMB - Security Bez Tabu

Kampania malvertisingowa z Vidar Infostealer uderza w sektor SMB

Cybersecurity news

Wprowadzenie do problemu / definicja

Malvertising, czyli wykorzystywanie złośliwych reklam do dystrybucji malware, pozostaje jednym z najskuteczniejszych wektorów początkowego dostępu. Najnowsza kampania pokazuje, że cyberprzestępcy łączą klasyczny infostealer z cryptominerem, aby maksymalizować zysk z pojedynczej infekcji. Celem są przede wszystkim użytkownicy indywidualni oraz małe i średnie firmy, które częściej korzystają z mniej rozbudowanych mechanizmów ochronnych.

W skrócie

Atak rozpoczyna się od kliknięcia reklamy promującej rzekomo „crackowane” lub pirackie oprogramowanie. Ofiara trafia na kontrolowaną przez napastników stronę i pobiera archiwum zabezpieczone hasłem, które w rzeczywistości zawiera loader malware.

Po uruchomieniu wdrażane są dwa komponenty: Vidar Infostealer odpowiedzialny za kradzież danych oraz XMRig służący do kopania kryptowaluty Monero. Kampania wyróżnia się rozbudowanymi technikami unikania detekcji, w tym obejściem AMSI, generowaniem unikalnych binariów oraz stosowaniem fałszywego podpisu kodu.

Kontekst / historia

Vidar od lat funkcjonuje w ekosystemie malware-as-a-service i jest szeroko wykorzystywany do kradzieży poświadczeń, ciasteczek sesyjnych, historii przeglądania oraz portfeli kryptowalutowych. W praktyce oznacza to, że jeden udany atak może prowadzić nie tylko do przejęcia kont użytkowników, ale również do dalszych incydentów, takich jak fraud, przejęcie poczty, naruszenia środowisk SaaS czy wtórna sprzedaż dostępu na podziemnych forach.

Opisana kampania została wykryta w kwietniu 2026 roku, a jej analiza ujawnia model podwójnej monetyzacji. Operatorzy jednocześnie zarabiają na kradzionych danych oraz na wykorzystaniu zasobów CPU ofiar do kopania kryptowaluty. To istotny przykład ewolucji operacji finansowych, w których każda infekcja ma generować przychód na więcej niż jednym etapie.

Analiza techniczna

Łańcuch ataku zaczyna się od złośliwej reklamy kierującej użytkownika na stronę podszywającą się pod serwis z nielegalnym lub zmodyfikowanym oprogramowaniem. Pobierany plik ma postać archiwum chronionego hasłem. Taka forma nie jest przypadkowa: utrudnia skanowanie zawartości przez niektóre narzędzia bezpieczeństwa, ogranicza skuteczność automatycznej detonacji w sandboxach i jednocześnie wzmacnia pozory autentyczności.

Po uruchomieniu pliku aktywowany jest loader napisany w Go. Zastosowany komponent wykorzystuje techniki defense evasion, w tym in-memory bypass mechanizmu AMSI, co pozwala ograniczyć skuteczność mechanizmów skanowania skryptów i artefaktów uruchamianych w pamięci. Dodatkowo loader został zbudowany z użyciem frameworka Factory-v3, co umożliwia tworzenie unikalnych wariantów binarnych dla kolejnych kompilacji. Taka zmienność znacząco obniża skuteczność detekcji opartej wyłącznie na hashach.

Kolejną techniką utrudniającą analizę jest sztuczne zwiększanie rozmiaru pliku przez padding zerami. Duży rozmiar próbki może powodować pomijanie jej przez niektóre środowiska analityczne i rozwiązania sandboxowe, szczególnie tam, gdzie obowiązują limity wielkości analizowanych plików. Badacze wskazali również użycie spreparowanego certyfikatu podpisu kodu, co ma obniżyć czujność użytkownika i nadać plikowi cechy pozornej wiarygodności.

Po skutecznym uruchomieniu malware instalowany jest Vidar, który zbiera dane z przeglądarek, zapisane hasła, cookies, historię przeglądania, dane autouzupełniania oraz pliki portfeli kryptowalutowych. Równolegle wdrażany jest XMRig, pracujący w tle i wykorzystujący moc obliczeniową hosta do wydobywania Monero. Utrzymanie dostępu realizowane jest przez mechanizmy persistence, takie jak klucze Run w rejestrze Windows oraz zaplanowane zadania.

Konsekwencje / ryzyko

Z perspektywy bezpieczeństwa kampania jest szczególnie niebezpieczna, ponieważ łączy dwa różne cele operacyjne. Vidar umożliwia bezpośrednią kradzież tożsamości cyfrowej użytkownika i przejęcie sesji, co może prowadzić do dalszej kompromitacji kont biznesowych, usług chmurowych i systemów administracyjnych. XMRig nie służy do eksfiltracji danych, ale generuje zauważalne obciążenie stacji roboczych i serwerów, wpływając na wydajność, stabilność i koszty operacyjne.

Dla sektora SMB ryzyko jest podwyższone z kilku powodów. Małe i średnie organizacje częściej posiadają mniej zaawansowane polityki egzekwowania podpisów kodu, słabiej dostrojone sandboxy, ograniczone możliwości threat huntingu oraz niższą widoczność telemetryczną na endpointach. W praktyce oznacza to, że techniki takie jak bardzo duże pliki, fałszywe certyfikaty czy niestandardowe ścieżki ładowania bibliotek mogą pozostać niewykryte wystarczająco długo, by doprowadzić do kradzieży danych uwierzytelniających i dalszego ruchu napastnika.

Rekomendacje

Organizacje powinny w pierwszej kolejności ograniczyć ryzyko pobierania nieautoryzowanego oprogramowania poprzez polityki aplikacyjne, filtrowanie kategorii stron oraz blokowanie reklam i domen wysokiego ryzyka na poziomie DNS, proxy lub secure web gateway. Należy również wzmocnić kontrolę uruchamiania plików pobieranych z Internetu oraz egzekwować zasadę korzystania wyłącznie z zaufanych źródeł instalatorów.

Po stronie detekcji warto wdrożyć skanowanie archiwów chronionych hasłem tam, gdzie rozwiązanie bezpieczeństwa to umożliwia, a także przetestować, czy narzędzia analityczne nie pomijają plików o dużym rozmiarze. Istotne jest monitorowanie prób obejścia AMSI, nietypowego ładowania bibliotek takich jak MpClient.dll z niestandardowych lokalizacji, tworzenia wpisów Run w rejestrze oraz nowych zadań harmonogramu powiązanych z nieznanymi binariami.

  • Blokowanie pobierania oprogramowania z nieautoryzowanych źródeł
  • Monitorowanie archiwów chronionych hasłem i ponadprzeciętnie dużych plików
  • Weryfikacja podpisów Authenticode i łańcucha zaufania
  • Obserwacja połączeń do infrastruktury C2 i puli miningowych
  • Reset haseł, unieważnianie sesji i odświeżanie tokenów po wykryciu incydentu
  • Wdrożenie EDR/XDR, MFA odpornego na phishing i ograniczenia uprawnień lokalnych

W środowiskach Windows zalecane jest rygorystyczne sprawdzanie łańcucha zaufania podpisów Authenticode, a tam, gdzie to możliwe, także blokowanie znanych numerów seryjnych nadużywanych certyfikatów. Dodatkowo warto monitorować połączenia wychodzące do infrastruktury C2 oraz do puli miningowych powiązanych z XMRig. Jeśli istnieje podejrzenie kompromitacji, należy natychmiast wymusić reset haseł, unieważnić aktywne sesje, odświeżyć tokeny dostępu i przeprowadzić przegląd zapisanych poświadczeń w przeglądarkach.

Z punktu widzenia odporności operacyjnej kluczowe są również EDR/XDR, MFA odporne na phishing, segmentacja uprawnień oraz ograniczenie lokalnych uprawnień administracyjnych użytkowników. Kampanie tego typu pokazują, że pojedynczy incydent na stacji końcowej może szybko przełożyć się na naruszenie kont firmowych i szerszy incydent tożsamościowy.

Podsumowanie

Kampania z użyciem Vidar Infostealer i XMRig stanowi przykład dojrzałej operacji finansowej, w której infekcja ma przynieść napastnikom wielowarstwowy zysk. Połączenie malvertisingu, archiwów chronionych hasłem, loadera w Go, obejścia AMSI, zróżnicowanych buildów i mechanizmów persistence sprawia, że atak jest trudniejszy do wykrycia niż typowe masowe kampanie malware. Dla organizacji z sektora SMB to wyraźny sygnał, że ochrona endpointów, kontrola źródeł oprogramowania i widoczność telemetryczna muszą obejmować nie tylko klasyczne wskaźniki kompromitacji, ale również zachowania charakterystyczne dla nowoczesnych operacji MaaS.

Źródła

  1. Dark Reading — Vidar Infostealer Hammers SMBs via Malvertising Campaign — https://www.darkreading.com/cyberattacks-data-breaches/vidar-infostealer-smb-malvertising-campaign
  2. Unit 42 — New Vidar Campaign Targets SMBs With Cracked Software Lures and XMRig Delivery — https://unit42.paloaltonetworks.com/vidar-malvertising-xmrig-smb/
  3. MITRE ATT&CK — Adversary-in-the-Middle: AMSI Bypass i techniki unikania detekcji — https://attack.mitre.org/
  4. Microsoft Learn — Authenticode and code signing — https://learn.microsoft.com/
  5. GitHub — XMRig, projekt open source wykorzystywany do cryptominingu — https://github.com/xmrig/xmrig