SecBoard
Zurück zur Übersicht

Vidar Stealer Unmasked: Code Signing Abuse, Go Loaders and File Inflation

Unit 42·
Originalartikel lesen bei Unit 42

Eine neue Cybercrime-Kampagne nutzt den Vidar Stealer, indem sie Code-Signing-Missbrauch und DLL-Sideloading kombiniert. Betroffen sind Nutzer, deren Systeme durch eine gefälschte MpClient.dll infiziert werden könnten. Es wird empfohlen, wachsam zu sein und Sicherheitspraktiken zu überprüfen, um sich vor dieser neuen Evasionstechnik zu schützen.

Kurzfassung

Eine neue Cybercrime-Kampagne nutzt den Vidar Stealer, indem sie Code-Signing-Missbrauch und DLL-Sideloading kombiniert. Die Kampagne verwendet eine gefälschte, in Go kompilierte MpClient.dll, um Erkennung zu umgehen. Organisationen und Einzelpersonen sind von dieser neuen Evasionstechnik betroffen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen und Einzelpersonen, deren Systeme durch eine gefälschte MpClient.dll infiziert werden könnten.

Warum relevant

Diese Kampagne nutzt Code-Signing-Missbrauch und DLL-Sideloading, um den Vidar Stealer zu verbreiten, was eine erhöhte Bedrohung durch Datenexfiltration darstellt. Die Verwendung einer gefälschten MpClient.dll ist eine neue Evasionstechnik, die bestehende Sicherheitsmaßnahmen umgehen kann.

Realistisches Worst Case

Erfolgreiche Infektionen könnten zur Exfiltration sensibler Daten durch den Vidar Stealer führen, was finanzielle Verluste und Reputationsschäden zur Folge hätte.

Handlungsempfehlung

Sicherheitssoftware aktualisieren, Wachsamkeit gegenüber Phishing-Versuchen erhöhen und Sicherheitspraktiken überprüfen, um sich vor DLL-Sideloading und Code-Signing-Missbrauch zu schützen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Ihre Endpoint Detection and Response (EDR)-Lösungen auf Erkennungsregeln für ungewöhnliche DLL-Ladevorgänge, insbesondere im Zusammenhang mit MpClient.dll.
  • Validieren Sie, ob Ihre E-Mail-Sicherheitssysteme Phishing-E-Mails, die ausführbare Dateien oder Archive mit DLLs enthalten, effektiv blockieren.
  • Stellen Sie sicher, dass Ihre Systeme für die Überprüfung von Code-Signaturen konfiguriert sind und Warnungen bei ungültigen oder missbrauchten Signaturen generieren.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Defense EvasionT1574 DLL SideloadingHighDLL-Sideloading über eine gefälschte Go-kompilierte MpClient.dll zur Umgehung der Erkennung.
Defense EvasionT1574.001 DLL Sideloading: Malicious DLL Side-LoadingHighDLL-Sideloading über eine gefälschte Go-kompilierte MpClient.dll zur Umgehung der Erkennung.
Defense EvasionT1553.002 Subvert Trust Controls: Code SigningHighCode-Signing-Missbrauch.
Initial AccessT1566 PhishingLowWachsamkeit gegenüber Phishing-Versuchen, die diese Malware liefern könnten.
Offene Punkte
  • Spezifische Branchen oder Sektoren, die am stärksten betroffen sind, sind im Artikel nicht genannt.
  • Die genaue Methode der initialen Verbreitung (z.B. Art der Phishing-E-Mails oder Download-Quellen) ist nicht detailliert beschrieben.
  • Die spezifischen Code-Signaturen oder Zertifikate, die missbraucht werden, sind nicht angegeben.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Defense Evasion detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Defense Evasion
Themen
MalwareThreat ResearchAMSICryptocurrencyDLL SideloadingFactory-v3malvertisingX3D MINER