Cyberthreat.id - Pelaku ancaman di balik malware Vidar telah membuat perubahan pada infrastruktur backend mereka, menunjukkan upaya untuk memperlengkapi kembali dan menyembunyikan jejak online mereka sebagai tanggapan atas pengungkapan publik tentang modus operandi mereka.

"Aktor ancaman Vidar terus merotasi infrastruktur IP backend mereka, mendukung penyedia di Moldova dan Rusia," kata perusahaan cybersecurity Team Cymru dalam analisis baru yang dibagikan kepada The Hacker News.

Disebutkan, Vidar adalah pencuri informasi komersial yang diketahui aktif sejak akhir 2018. Ini juga merupakan fork dari malware pencuri lain yang disebut Arkei dan ditawarkan untuk dijual antara $130 dan $750 tergantung pada tingkat langganan.

Biasanya dikirimkan melalui kampanye phishing dan situs yang mengiklankan perangkat lunak yang telah diretas, malware hadir dengan berbagai kemampuan untuk mengambil informasi sensitif dari host yang terinfeksi. Vidar juga terlihat didistribusikan melalui Google Ads nakal dan pemuat malware yang dijuluki Bumblebee.

Team Cymru, dalam sebuah laporan yang diterbitkan awal Januari, mencatat bahwa "Operator Vidar telah membagi infrastruktur mereka menjadi dua bagian; satu didedikasikan untuk pelanggan reguler mereka dan yang lainnya untuk tim manajemen, dan juga pengguna yang berpotensi premium/penting."

Domain utama yang digunakan oleh aktor Vidar adalah my-odin[.]com, yang berfungsi sebagai tujuan terpadu untuk mengelola panel, mengautentikasi afiliasi, dan berbagi file.

Sebelumnya dimungkinkan untuk mengunduh file dari situs tanpa autentikasi apa pun, melakukan tindakan yang sama sekarang akan mengarahkan pengguna ke halaman login. Perubahan lain melibatkan pembaruan alamat IP yang menghosting domain itu sendiri.

“Ini termasuk perpindahan dari 186.2.166[.]15 ke 5.252.179[.]201 ke 5.252.176[.]49 pada akhir Maret 2023, dengan pelaku ancaman mengakses yang terakhir menggunakan server VPN pada waktu yang hampir bersamaan.”

"Dengan menggunakan infrastruktur VPN, yang setidaknya sebagian juga digunakan oleh banyak pengguna jinak lainnya, jelas bahwa pelaku ancaman Vidar mungkin mengambil langkah untuk menganonimkan aktivitas manajemen mereka dengan bersembunyi di kebisingan Internet secara umum," catat Tim Cymru.

Perusahaan keamanan siber mengatakan bahwa mereka juga mendeteksi koneksi keluar dari 5.252.176[.]49 ke situs web sah bernama blunk[.]co serta host yang berlokasi di Rusia (185.173.93[.]98:443).

Infrastruktur Vidar telah ditemukan untuk menerima facelift lagi efektif 3 Mei 2023, dengan pengenalan alamat IP baru 185.229.64[.]137 hosting domain my-odin[.]com bersama dengan penggunaan relai TOR oleh operator untuk mengakses akun dan repositori malware mereka.

Temuan tersebut "memberikan wawasan lebih jauh tentang operasi 'di belakang layar' Vidar, menunjukkan evolusi infrastruktur manajemennya serta bukti langkah-langkah yang diambil oleh pelaku ancaman untuk menutupi jejak mereka," kata perusahaan itu.[]