Хаос как ступенька вверх: почему старый Vidar внезапно возглавил рынок похитителей данных

События последних полутора лет перекроили ландшафт угроз. Европол совместно с партнёрами провёл несколько громких операций против инфраструктуры злоумышленников, что привело к дестабилизации крупнейших игроков. Первым под удар попал Lumma - абсолютный лидер рынка с конца 2024 года. Операция в мае 2025 года не убила проект мгновенно, но запустила цепную реакцию. Многие злоумышленники начали отказываться от использования Lumma, опасаясь за сохранность собственной инфраструктуры и непрерывность преступного бизнеса. На освободившееся место немедленно устремились конкуренты - от новичка Acreed до более известного Stealc.

Летом 2025 года эстафету подхватил Rhadamanthys, однако уже в ноябре последовала новая волна правоохранительных мер. Именно в этом хаосе операторы Vidar рассмотрели окно возможностей. Они выпустили версию 2.0 своего продукта в октябре 2025 года, и этот шаг совпал с растущим недоверием к скомпрометированным конкурентам. Французские эксперты по кибербезопасности из компании Intrinsec в свежем отчёте зафиксировали устойчивый рост Vidar на площадке Russian Market, где с ноября 2025 года он стал самым массовым инструментом для кражи данных.

Почему же продукт, существующий семь лет, вдруг обошёл более молодые разработки. Ответ кроется в грамотной маркетинговой стратегии создателей и выстроенной сети распространения. Разработчик под псевдонимом Loadbaks выстроил целую экосистему вокруг своего продукта, активно взаимодействуя с так называемыми "облачными" Telegram-каналами. Эти каналы представляют собой теневые площадки, где похищенные учётные данные свободно распространяются или выставляются на продажу. Среди партнёров Vidar значатся KATANACLOUD, POLTERGEIST CLOUD, CRON CLOUD и 0MEGA CLOUD. Такое сотрудничество формирует самоподдерживающийся цикл: клиенты покупают Vidar, крадут данные, а затем распространяют их через те же каналы, которые рекламируют сам инструмент.

Эксперты подробно разобрали цепочку заражения, которая приводила к компрометации сотрудников коммерческих организаций. Всё начиналось с безобидного на первый взгляд шага - загрузки поддельного программного обеспечения, рекламируемого на YouTube. Пользователь скачивал файл, не подозревая, что запускает процесс извлечения программы-похитителя. Далее механизм заражения демонстрировал любопытную эволюцию в части уклонения от средств защиты.

Аналитики выделили усовершенствованный механизм восстановления связи с управляющим сервером. Новая версия Vidar применяет так называемые Dead Drop Resolver - метод скрытой передачи команд, при котором адрес сервера злоумышленников извлекается из легитимных веб-сервисов. Представьте себе шпиона, который не носит с собой рацию, а оставляет и получает записки в условленном тайнике, ничем не примечательном для посторонних глаз. Такой подход серьёзно затрудняет блокировку инфраструктуры, поскольку нет фиксированного адреса, который можно внести в чёрный список.

Вторая техническая новинка - усложнение кода методом Control Flow Flattening. Этот приём запутывает логику выполнения программы, превращая стройный алгоритм в хаотичное перескакивание между блоками инструкций. Анализ подобного кода требует значительно больше времени и ресурсов от специалистов по реверс-инжинирингу. Между тем, исследователи наткнулись на распакованный образец Vidar, предположительно загруженный русскоязычным злоумышленником на платформу VirusTotal. Внутри обнаружились классические функции похитителя, включая сбор паролей из браузеров, данных криптовалютных кошельков и файлов cookie.

Масштаб проблемы выходит за пределы теневых форумов. Агентство по кибербезопасности и защите инфраструктуры США (CISA) ещё 29 июля 2025 года опубликовало предупреждение о группировке Scattered Spider, указав Vidar среди используемых ею инструментов. Позднее, в ноябре 2025 года, исследователи из Datadog Security Labs раскрыли кампанию по распространению Vidar через заражённые пакеты в репозитории npm. Разработчики, устанавливавшие вредоносные библиотеки, невольно открывали доступ к корпоративным системам.

Инфраструктура, стоящая за Vidar, демонстрирует продуманный подход к ведению преступного бизнеса. Специалисты Intrinsec ранее исследовали хостинг, связанный с программой Acreed, и обнаружили пересечения. Часть доменных имён используется для генерации финальной полезной нагрузки - того самого исполняемого файла, который клиенты Vidar настраивают под свои нужды. Регистрационная панель на домене vidars.su требует пригласительный код, что ограничивает круг посвящённых и служит дополнительным фильтром для посторонних.

Для бизнеса происходящее означает несколько неприятных выводов. Во-первых, программы-похитители остаются серьёзной угрозой, способной эволюционировать даже после многолетнего присутствия на рынке. Утечка учётных данных одного сотрудника способна привести к компрометации внутренних систем, особенно если в компании не настроена многофакторная аутентификация. Во-вторых, злоумышленники активно используют легитимные платформы - от YouTube до npm - для первоначального заражения. Это требует пересмотра политик безопасности в части загрузки программного обеспечения и использования сторонних библиотек.

История Vidar наглядно показывает, что хаос действительно может служить ступенькой вверх для тех, кто готов им воспользоваться. Пока правоохранительные органы концентрируют усилия на ликвидации одних угроз, другие занимают освободившуюся нишу с удвоенной энергией.

IPv4

• 116.202.186.230
• 116.203.13.215
• 159.69.103.251
• 193.233.198.22
• 213.159.75.95
• 65.109.242.143
• 65.21.58.227
• 91.142.72.234
• 95.216.181.234
• 95.217.233.214

Domains

• chi.botick.top
• get-p.buzz
• getpi.su
• gpu.orca-trade.com
• my-vidar.ru
• pre.automanpk.com
• tech-v.top
• true-v.top
• Vidar.su
• vidars.su
• vidmn.top
• v-new.cloud
• v-tamin.lol
• wto.azl.one
• wto.mir-massage.kiev.ua

URLs

• https://steamcommunity.com/profiles/76561198754004827
• https://steamcommunity.com/profiles/76561198761022496
• https://steamcommunity.com/profiles/76561198763098204
• https://vidars.su/files/instructions/cripto_en.pdf
• t.me/g2trbox

Emails

• denis@otmail.top

Emails

• a72f693b77cbaeafea19dc3ac83a5b07

SHA256

• 03acfc321b897deee78c9a103e7921334fc97d9fdac944523ae3e95e5e867676
• 9a5824d71ccc9c47291536d633f4d2c3148d455c5db2f3cec656a00ac2ca33c1
• a8dd417fdac8c47b8c4b0630c3dca337ce4f873cddfbe0d86576734a6bef545b
• b21638e6dc0d08386d9ef2fe8f7a0e2dcfcdbbad5ab2cc7c2f773f4d96e9a3e4
• d586d192b0d5c050a03698753d9754ec0f5ce0b0791e0c2919a46284bf3b3c14
• fe5c91162aeefe3d3f4cb6f48e41a5127d3b0499b668ef971e5ef5c6acb6e365

• TLP_CLEAR-20260424-New_Vidar.pdf