Hakeri su istovremeno objavili velika ažuriranja za dva istaknuta kradljivaca informacija, Vidar i StealC , označavajući njihov prelaz na verziju 2.0.
Ova ažuriranja, najavljena krajem februara 2025., uvode redizajnirane verzije, modernizovane funkcije i poboljšane mogućnosti.
Međutim, stručnjaci za sajber sigurnost otkrili su intrigantno preklapanje: čini se da oba soja malicioznog softvera dijele dijelove svoje baze koda, što izaziva zabrinutost zbog potencijalne krađe koda ili suradnje među cyber kriminalcima.
Ključne karakteristike Vidara i StealC 2.0
Prema objavi @g0njxa na X-u, i Vidar i StealC su prošli značajne nadogradnje u svojim najnovijim verzijama, kao što je istaknuto u njihovim najavama:
Modernizovani korisnički interfejsi: Obe porodice malicioznog softvera sada imaju ažurirani interface, vjerovatno usmjerena na poboljšanje upotrebljivosti za operatere.
Rewrited Builds: Kodne baze za oba projekta su prepisane od nule, navodno koristeći moderne metode za poboljšanje funkcionalnosti uz izbjegavanje oslanjanja na stariji kod.
Poboljšana stabilnost vremena rada: Uveden je novi modul “morpher” za poboljšanje stabilnosti vremena rada i ubrzanje procesa izvršavanja malicioznog softvera.
Unaprijeđeni marketing i podrška: Hakeri koji stoje iza ovih projekata naglasili su poboljšane usluge podrške na više jezika, signalizirajući pritisak ka širem usvajanju od strane sajber-kriminalaca.
Uprkos tome što se plasiraju kao različiti projekti, istraživači su identifikovali značajne sličnosti između Vidara 2.0 i StealC 2.0 na nivou koda.
Snimci ekrana internih diskusija među programerima sugerišu da Vidarovi kreatori sumnjaju da su njihov kod možda ukrali i promijenili drugi hakeri.
Na primjer, jedan programer je primijetio: “Da li je neko ukrao moj alat za izvlačenje kolačića ili nešto slično?” Ova sumnja je u skladu s tehničkim nalazima koji pokazuju identične module za ekstrakciju kolačića i rukovanje neuspjelim ubrizgavanjem.
Vidar je bio ogroman kradljivac informacija od svog pojavljivanja 2018. Napisan na C++, sposoban je eksfiltrirati osjetljive podatke kao što su kolačići pretraživača, sačuvane lozinke, novčanici kriptovaluta, pa čak i datoteke za autentifikaciju s dva faktora.
Njegovi operateri često koriste platforme društvenih medija kao što su Telegram i Mastodon kako bi dohvatili informacije o komandi i kontroli (C2) putem opisa profila – tehnika poznata kao „dead drop“.
Ova metoda omogućava brzo ažuriranje C2 infrastrukture uz izbjegavanje otkrivanja.
StealC je relativno noviji igrač, ali je brzo stekao popularnost zbog svoje modularne arhitekture i lakoće prilagođavanja.
Kao i Vidar, cilja na osjetljive korisničke podatke, ali također uključuje napredne tehnike zamagljivanja kako bi izbjegao otkrivanje.
Implikacije za sajber sigurnost
Istovremeno izdavanje Vidara i StealC 2.0 naglašava rastuću sofisticiranost malvera za krađu informacija.
Zajednička baza koda komplikuje napore pripisivanja i sugeriše ili saradnju ili krađu intelektualnog vlasništva unutar ekosistema sajber kriminala.
Strategije otkrivanja moraju se razvijati kako bi se efikasno riješile ove prijetnje. YARA pravila koja ciljaju na zajedničke module mogu poslužiti kao početna tačka za identifikaciju infekcija:
Izdavanje Vidara i StealC 2.0 označava ključni trenutak u evoluciji malvera za krađu informacija.
Iako ova ažuriranja poboljšavaju mogućnosti obe porodice malicioznog softvera, otkriće zajedničkog koda postavlja kritična pitanja o dinamici unutar zajednice cyber kriminalaca.
Organizacije moraju ostati na oprezu korištenjem naprednih mehanizama za otkrivanje kako bi ublažile rizike koje predstavljaju ove sve sofisticiranije prijetnje.
Izvor: CyberSecurityNews
