Malware, mit der auf den PCs der Opfer Informationen wie Passwörter abgegriffen werden, scheinen sich bei Cyberkriminellen derzeit einer besonderen Beliebtheit zu erfreuen. Denn mit Formbook und Vidar befinden sich gleich zwei dieser Datendiebe auf dem Podest der Schweizer «Most Wanted Malware»-Liste von Check Point Software Technologies. Mit seiner Schadsoftware-«Hitparade» ermittelt der Cybersecurity-Spezialist jeden Monat die Malware-Typen, die das Forscherteam von Check Point auf Unternehmensrechnern der Schweiz und weltweit am häufigsten gefunden und ausgefiltert hat.

Und während Formbook bereits als «alter Bekannter» tituliert werden darf, wird Vidar im September förmlich aus dem Nichts auf das Schweizer Malware-Podest katapultiert. Grund hierfür ist eine gegen Ende letzten Monats beobachtete Kampagne der Cyberkriminellen, bei der gefälschte Webseiten von Zoom-Meetings den Opfern untergejubelt wurden. Dabei werden URLs verwendet mit Varianten des Begriffs «Zoom» wie etwa «zoomus[.]website» oder «zoom-download[.]space». Von diesen Fake-Webseiten wurde dann keine Zoom-Sitzungs-Software heruntergeladen, sondern der Infostealer Vidar.

«Zoom-Benutzer müssen vor betrügerischen Links auf der Hut sein, da die Vidar-Malware in letzter Zeit auf diese Weise verbreitet wurde», warnt Maya Horowitz, VP Research bei Check Point. «Achten Sie immer auf Ungereimtheiten oder falsch geschriebene Wörter in URLs», rät sie folglich. «Wenn es verdächtig aussieht, ist es das wahrscheinlich auch», fügt Horowitz an.

Bei Vidar handelt es sich um einen Infostealer, der es – wie Formbook auch – auf Rechner mit Windows-Betriebssystem abgesehen hat. Er wurde erstmals Ende 2018 entdeckt und ist darauf ausgelegt, Passwörter, Kreditkartendaten und andere sensible Informationen zu stehlen. Dabei bedient er sich in verschiedenen Webbrowsern oder auch in digitalen Geldbörsen. Vidar wird in verschiedenen Online-Foren des Darkweb verkauft.

Neben seiner Funktion als Infostealer fungiert Vidar darüber hinaus als sogenannter Malware-Dropper. Er dient den Cyberkriminellen in diesem Fall dazu, die Ransomware GandCrab als sekundäre Nutzlast herunterzuladen. Dies könnte auch mit ein Grund dafür sein, dass im Sommer GandCrab eine gewisse Virulenz erlangte (Computerworld berichtete).