O spyware Vidar está no centro de uma nova, mas pouco sofisticada, campanha de phishing contra usuários corporativos e finais. A praga vem escondida em um e-mail simples, com um suposto documento de solicitação e informações importantes, que traz um arquivo no formato CHM, usado pelo Windows para exibição de documentação e ajuda. Caso executado, o vírus é carregado e passa a enviar dados da vítima para os criminosos.
É uma exploração bastante simples e, como tal, amplamente identificável por sistemas de segurança, em uma campanha de contaminação teoricamente pouco efetiva. O documento de texto que acompanha o e-mail, na verdade, é um arquivo ISO que traz os dados em formado CHM e um executável simples, que é ativado caso a documentação seja aberta. Não há esforço nem mesmo em criar uma mensagem chamativa ou com aparência de legitimidade.
A campanha maliciosa foi relatada pela especialista Diana Lopera, da Trustwave, e ainda utiliza a rede social Mastodon para se conectar ao servidor que armazena as informações das vítimas. É, basicamente, o único elemento fora do usual no ataque, já que os endereços da infraestrutura criminosa estão na descrição de determinados perfis da plataforma; o malware busca por eles de forma automática e, ao localizar, envia os dados para o local designado.
Amostra de e-mail e conteúdo do arquivo que tenta instalar o malware Vidar nas máquinas corporativas e de usuários finais do Windows (Imagem: Reprodução/Trustwave)
Em caso de infecção bem sucedida, são extraídas informações pessoais e as credenciais de acesso das vítimas a diferentes plataformas, desde redes sociais até serviços financeiros. Além disso, o Vidar também envia informações sobre o dispositivo comprometido, podendo servidor como vetor para o download e instalação de novos malwares em futuras campanhas de ataque.
O Vidar é uma ameaça comum em campanhas envolvendo spam, com o uso de phishing e mensagens supostamente corporativas. Além disso, de acordo com a Trustwave, o malware desenvolvido em linguagem C++ também aparece como parte de kits de exploração vendidos por criminosos como serviço, principalmente como parte das possibilidades do PrivateLoader, carregador de pragas que vem tendo certa eficácia em tentativas de contaminação desde 2021.
A recomendação de segurança é de atenção quanto a e-mails fraudulentos desse tipo. Neste caso, é fácil detectar que se trata de um golpe, mas nem sempre é assim, por isso, a dica é para que anexos só sejam abertos quando o usuário tiver certeza da veracidade do contato, prestando atenção em endereços de correio eletrônico, remetentes e no próprio texto das mensagens, que normalmente entregam se tratar de um golpe mesmo naqueles mais sofisticados.