I cyber criminali dietro GandCrab hanno aggiunto il malware per il furto di informazioni Vidar nel processo di distribuzione del ransomware: l'intento è chiaramente quello di aumentare i profitti rubando informazioni sensibili (da riutilizzare/rivendere) prima di avviare la criptazione dei file del computer. 
I ricercatori hanno scoperto questa novità seguendo le tracce di una campagna di malvertising rivolta a utenti di tracker torrent e di siti per il video streaming: hanno così scoperto che l'exploit kit Fallout è stato usato per diffondere un nuovo infostealer chiamato Vidar, usato a sua volta come downloader per GandCrab. 

Fonte originale: malwarebytes.com

Usando un dominio pubblicitario truffaldino, i cyber criminali geolocalizzano i visitatori dei siti compromessi e li reindirizzano verso l'exploit kit. 
Fallout è si è distinto come il più attivo distributore di Vidar, che altro non è che un malware per l'esfiltrazione e il furto di dati sensibili (nel dettaglio per rubare password e moduli dai browser web) disponibile in vendita a circa 700 dollari. Vidar può essere configurato per sottrarre informazioni specifiche, come numeri della carta di credito o le credenziali salvate in altre app. La variante in analisi si concentra evidentemente sul furto di dettagli da una quantità impressionante di diversi portafogli di criptovalute.

I portafogli di criptovaluta target. Fonte: malwarebytes.com

Una volta avviato, Vidar ricerca il tipo di dati per il quale è stato configurato in quella particolare attivazione e li invia, in formato archivio .zip, al proprio server di comando e controllo. E' perfino dotato di una interfaccia che rende molto semplice, per gli attaccanti, il monitoraggio delle vittime, la distribuzione delle istruzioni al malware e la verifica dei dati raccolti da ogni singolo host infetto. 
Quindi entra in gioco GandCrab Vidar funziona anche come dropper per altri malware e, in questo specifico caso, il secondo payload distribuito è il ransomware GandCrab. Dopo pochi minuti dopo l'infezione iniziale con Vidar, sul sistema infetto inizia la criptazione dei file contenuti, quindi lo sfondo del desktop viene sostituito per mostrare la nota di riscatto di GandCrab v.5.04.

La v.5.04 è l'ultima messa in distribuzione delle varie versioni di GandCrab e non è, attualmente, risolvibile se non pagando il riscatto o ottenendo in qualche maniera la chiave di decriptazione dei cyber attaccanti stessi. 
N.B: ricordiamo che sono risolvibili le versioni 1, 4 e 5 (fino alla 5.02) del ransomware GandCrab. 
Conclusioni Usare un infostealer prima dell'infezione di un ransomware è un grande vantaggio per gli attaccanti: garantisce loro un pò di soldi (rivendendo o sfruttando le informazioni rubate) anche nel caso in cui la vittima non paghi il riscatto. 
Consigliamo caldamente quindi a chi dovesse subire un'infezione con GandCrab V.5.04 di non limitarsi a eliminare il ransomware dal pc, ma di modificare anche le credenziali di accesso a tutti i servizi e app che hanno in uso.