توسط : در سالهای اخیر، بدافزار Vidar به یکی از تهدیدهای مهم دنیای امنیت سایبری تبدیل شده است. نسخهی جدید این بدافزار با بهرهگیری از تکنیکی موسوم به «هوکگذاری در سطح API»، توانسته از ابزارهای امنیتی عبور کند و اطلاعات حساس کاربران را در لحظهی استفاده سرقت نماید. در این مقاله، به بررسی نحوهی عملکرد بدافزار Vidar و راهکارهای مقابله با آن میپردازیم.
بدافزار Vidar چیست و چگونه عمل میکند
بدافزار Vidar از نوع ابزارهای سرقت اطلاعات (infostealer) است که سیستمهای ویندوز را هدف قرار میدهد. این بدافزار اطلاعات ارزشمندی نظیر رمزهای عبور ذخیرهشده در مرورگرها، کوکیها، اطلاعات پرداخت، کیفپولهای رمزارزی، توکنهای احراز هویت دومرحلهای، اعتبارنامههای ایمیل و FTP و حتی اسکرینشاتها و اسناد کاربر را جمعآوری میکند.
در نسخهی جدید، بدافزار Vidar با ترفند هوکگذاری API به مرحلهای پیشرفتهتر از سرقت دادهها رسیده است. برخلاف روشهای قدیمی که فایلها را اسکن یا حافظه را دامپ میکردند، این نسخه در همان لحظهای که دادهها در حال استفاده هستند، آنها را پیش از رمزگذاری یا محافظت سیستم، سرقت میکند. این رویکرد باعث میشود دادهها بهصورت متنی ساده (plaintext) به دست مهاجم برسند.
روش جدید: هوکگذاری در سطح API
در نسخهی جدید، بدافزار Vidar از تکنیکی پیشرفته برای تزریق کد به فرآیندهای در حال اجرا استفاده میکند. این بدافزار چند بایت ابتدایی از توابع رمزنگاری ویندوز مانند «CryptProtectMemory» را بازنویسی کرده و با قرار دادن «ترمپولین» کوچک، اجرای کد را به بخش مخرب خود هدایت میکند. سپس مقادیر واقعی دادهها را پیش از رمزگذاری ضبط کرده و آنها را به سرور مهاجم ارسال مینماید.
این روش باعث میشود که فعالیت بدافزار بسیار بیصدا باشد؛ زیرا برخلاف روشهای معمول، نیازی به خواندن یا نوشتن فایلهای جدید در دیسک ندارد و در نتیجه بسیاری از سیستمهای امنیتی که بر پایهی تحلیل فایل عمل میکنند، قادر به شناسایی آن نیستند.
ویژگیهای دیگر و قابلیتهای پنهانسازی
بدافزار Vidar دارای معماری ماژولار است؛ به این معنا که مجرمان سایبری میتوانند با افزونههای مختلف، قابلیتهای آن را گسترش دهند. نصب تصادفی در مسیرهای مختلف، استفاده از PowerShell برای بارگذاری مرحلهای، و ماندگاری از طریق وظایف زمانبندیشده (Scheduled Tasks) از جمله ویژگیهای فنی آن است.
همچنین Vidar با استفاده از رمزگذاری ترافیک خود در قالب ارتباطات TLS و پنهانسازی دادههای خروجی در میان ترافیک عادی اینترنت، شناسایی را دشوار میکند. همین ویژگیها باعث شده این بدافزار برای مهاجمان تازهکار نیز جذاب و قابل استفاده باشد.
چگونه از بدافزار Vidar محافظت کنیم؟
مقابله با بدافزار Vidar نیازمند یک استراتژی چندلایه است. تکیه صرف بر نشانههای سنتی مانند فایلهای مخرب یا فعالیتهای مشکوک کافی نیست. سازمانها باید رویکردی مبتنی بر «اعتماد صفر» (Zero Trust) را در پیش بگیرند تا ارزش دادههای سرقتشده کاهش یابد و مهاجمان نتوانند از کوکیها یا توکنهای سرقتشده مجدداً استفاده کنند.
از سوی دیگر، استفاده از ابزارهای تشخیص و پاسخ در سطح نقطه پایانی (EDR) که قابلیت رصد زنجیرهی فراخوانی API را دارند، میتواند نشانههای هوکگذاری را شناسایی کند. بررسی تمامیت کتابخانههای سیستمی و نظارت بر تغییرات در توابع حساس نیز از روشهای مهم پیشگیری است.
در نهایت، آگاهی کاربران از حملات فیشینگ، بهروزرسانی مداوم نرمافزارها و محدود کردن دسترسی به دادههای حساس در سطح سیستم، از مهمترین اصول دفاعی در برابر بدافزار Vidar محسوب میشود.
آیندهی تهدیدات Vidar
کارشناسان پیشبینی میکنند نسخههای آیندهی بدافزار Vidar از روشهای پیچیدهتری استفاده خواهند کرد، از جمله هوکگذاری در سطح کرنل، اجرای کاملاً در حافظه بدون فایل (fileless) و حتی بهرهگیری از هوش مصنوعی برای انتخاب دادههای هدف بر اساس نوع کاربر یا سازمان.
چنین تحولاتی باعث میشود Vidar از یک بدافزار ساده به پلتفرمی پیشرفته برای جاسوسی سایبری تبدیل شود. بنابراین، بهترین دفاع در برابر این تهدید نه یک ابزار خاص، بلکه ترکیبی از انضباط سازمانی، نظارت شبکه، کنترل دسترسی و تمرکز بر امنیت فرآیندها است.
در نهایت، همانطور که مهاجمان در حال تکامل هستند، مدافعان نیز باید با نگاهی پیشدستانه و لایهبهلایه از زیرساختهای خود محافظت کنند تا در برابر حملات بدافزار Vidar مقاوم بمانند.
بدافزار Vidar نمونهای روشن از تکامل بدافزارهای سرقت اطلاعات است که با استفاده از هوکگذاری API توانسته از سد بسیاری از ابزارهای امنیتی عبور کند. مقابله با این تهدید نیازمند ترکیبی از رویکردهای فنی، آموزشی و مدیریتی است تا سازمانها بتوانند امنیت دادههای خود را در برابر موج جدید حملات سایبری حفظ کنند.
منبع (Source):
