Acronis ha identificato centinaia di repository GitHub che diffondono malware online sotto la copertura di “cheat gratuiti” e sebbene l’abuso di GitHub come piattaforma per infostealer come Vidar Stealer 2.0 non sia nuovo, rimane comunque particolarmente efficace.
In particolare è stata identificata una nuova versione della nota famiglia di malware infostealer Vidar. Le recenti operazioni della polizia postale contro Lumma e Rhadamanthys hanno compromesso gran parte della loro infrastruttura. Nel frattempo, però, Vidar 2.0 — completamente riscritto in C da C++, con maggiore velocità e stabilità, morphing automatico, nuove capacità di browser hijacking, esecuzione multithread e anti-analisi più robusta — ha guadagnato terreno. Questo infostealer evita server C2 codificati usando bot Telegram e profili Steam e prende di mira estensioni del browser, wallet crypto, credenziali FTP/SSH, file locali, app social e screenshot. Il costo inferiore rispetto a Lumma, una reputazione consolidata e le funzionalità ampliate lo rendono allettante.
Falsi repository GitHub distribuiscono Vidar Stealer 2.0
In questa campagna, la vittima viene indotta a scaricare software denominati “TempSpoofer.exe”, “Monotone.exe” o “CFXBypass.exe”. L’applicazione falsa scaricata dai repository GitHub rappresenta il payload di primo stadio. L’analisi ha rivelato che questi eseguibili sono script PowerShell compilati in binari .NET tramite il modulo open-source PS2EXE. I payload PowerShell compilati possono bypassare i rilevamenti di base basati su script e semplificano l’esecuzione per utenti non tecnici, grazie alla normale interazione con un file eseguibile. Il loader PowerShell esegue diverse operazioni di tipo malevole, aggiunge l’esclusione di Windows Defender per una directory controllata dall’hacker, disabilitando la scansione dei payload successivi depositati in questa directory.
A seguire contatta un URL di Pastebin hard-coded per recuperare un secondo URL, questa volta ospitato su GitHub. Questo comportamento è coerente con le TTP di Vidar, che sfrutta servizi legittimi per ospitare e recuperare dinamicamente l’infrastruttura malevola. Procede poi alla creazione di una directory con nome casuale all’interno della directory %AppData%, la aggiunge alla lista di esclusioni di Defender e scarica un secondo eseguibile denominato “background.exe”. Prima dell’esecuzione verifica il file controllando l’intestazione MZ e imposta gli attributi della directory e del file come “nascosti”, in modo che non siano visibili all’utente.
Il payload scaricato (background.exe) è una versione di Vidar Stealer 2.0 protetta con Themida e tenta di elevare i propri privilegi tramite “runas”. La persistenza viene poi stabilita tramite un’attività pianificata chiamata “SystemBackgroundUpdate”, configurata per essere eseguita al login dell’utente con privilegi elevati. Una volta che Vidar viene eseguito, crea una directory all’interno di %ProgramData% dove memorizza tutti i dati rubati, per poi esfiltrarli verso i server di comando e controllo (C2). Vidar è noto per utilizzare Telegram e Steam come “dead drop resolver” (DDR) per mascherare i propri server C2.
Post Reddit che promuovono cheat per CS2
Parallelamente è stata scoperta un’altra variante della campagna che diffonde Vidar 2.0 tramite post su Reddit che pubblicizzano cheat per il gioco CS2. I post reindirizzano gli utenti a un sito web da cui viene scaricato il malware. L’archivio scaricato, “EzFrags_Private.zip”, contiene diversi file, tra cui un grande eseguibile che funge da loader iniziale. L’ispezione dei metadati del file mostra che si tratta di un archivio autoestraente (SFX), che estrae un file cabinet incorporato, e presenta anche una firma digitale non valida, aumentando i sospetti sulla legittimità. Una volta eseguito, il loader estrae un archivio cabinet incorporato ed esegue un comando per elaborarne uno dei componenti. Lo script utilizza nomi di variabili e testi randomizzati per complicare l’analisi statica. Dopo aver estratto le righe rilevanti, lo script funziona come dropper del payload finale.
Mitigazione e raccomandazioni da Acronis
Le nuove campagne evidenziano come le piattaforme affidabili possano essere sfruttate per diffondere malware. La fiducia nei social e in noti canali di download permette agli hacker di bypassare molte difese. Acronis raccomanda di implementare soluzioni endpoint/EDR moderne con analisi comportamentale e basata su firme; mantenere aggiornati sistemi operativi e applicazioni; applicare politicy che impediscano l’esecuzione da directory non tipicamente utilizzate da software legittimo; e formare gli utenti sui rischi dei download non ufficiali, raccomandando l’uso di fonti verificate.
