Главная страница » Индикаторы компрометации
0
6 часов
Индикаторы компрометации

Новая версия вредоносной программы Vidar Stealer угрожает пользователям по всему миру

Stealer

Специалисты по кибербезопасности из Trend Research обнаружили значительное обновление вредоносной программы для кражи данных Vidar Stealer. Версия 2.0, полностью переписанная на языке C и использующая многопоточную архитектуру, демонстрирует повышенную эффективность сбора информации и улучшенные возможности маскировки. Появление обновления совпало со снижением активности конкурирующей программы Lumma Stealer, что привело к резкому росту популярности Vidar среди злоумышленников.

Описание

Разработчик под псевдонимом Loadbaks анонсировал выпуск Vidar Stealer v2.0 6 октября 2025 года на подпольных форумах. Основным изменением стала полная переработка кода с переходом с C++ на C, что, по заявлениям создателей, значительно повысило производительность и стабильность работы. Стоимость лицензии остается на уровне 300 долларов США, что делает программу доступной для широкого круга киберпреступников.

История Vidar началась в 2018 году, когда программа появилась на русскоязычных подпольных форумах как наследник кода Arkei stealer. За годы развития программа завоевала популярность благодаря комплексному подходу к краже данных, включая учетные записи браузеров, криптовалютные кошельки и информацию двухфакторной аутентификации. Постоянные обновления и надежная техническая поддержка обеспечили Vidar стабильную пользовательскую базу.

Технические улучшения в версии 2.0 включают четыре ключевых изменения. Полная переписывание кода на языке C позволило, по утверждениям разработчиков, добиться значительного прироста скорости и стабильности за счет устранения зависимостей C++ и снижения нагрузки во время выполнения. Многопоточная архитектура использует современные многоядерные процессоры для параллельного выполнения задач по сбору данных, что значительно ускоряет процесс и сокращает время нахождения вредоносной программы в системе.

Особую опасность представляют усовершенствованные методы кражи учетных данных браузеров. Vidar 2.0 обходит систему защиты Chrome AppBound encryption с помощью прямого внедрения в память процесса. Программа использует комплексный подход, включающий стандартное декодирование DPAPI и продвинутые техники инъекции кода. Запуская браузеры в режиме отладки, вредоносная программа внедряет вредоносный код непосредственно в процессы браузера, извлекая ключи шифрования прямо из оперативной памяти.

Автоматический полиморфный сборщик генерирует уникальные образцы для каждого построения, что затрудняет статическое обнаружение. Анализ бинарного кода показывает активное использование методов сглаживания потока управления с комплексными структурами switch-case и числовыми автоматами состояний, значительно усложняющими обратную разработку.

Процесс выполнения Vidar 2.0 представляет собой тщательно организованную последовательность операций. На этапах инициализации и маскировки программа устанавливает многопоточную архитектуру и выполняет комплексные проверки на анализ, включая обнаружение отладчиков, проверку времени работы системы и профилирование оборудования. Все проверки должны быть успешно пройдены для продолжения выполнения, при любой неудаче программа немедленно завершает работу.

На этапах сбора информации и кражи данных программа проводит профилирование системы перед запуском параллельных операций по хищению учетных данных. Усовершенствованная система извлечения данных браузеров использует как стандартное декодирование DPAPI, так и продвинутые техники инъекции в память для обхода защиты Chrome v20 AppBound. Одновременно программа нацелена на криптовалютные кошельки, облачные учетные данные, приложения для общения и игровые платформы. Компонент сбора файлов систематически ищет ценные данные в пользовательских каталогах и на съемных носителях.

Завершающие этапы включают создание снимков экрана для дополнительной разведывательной информации, комплексную упаковку данных и их передачу через HTTP multipart запросы к инфраструктуре управления, которая включает Telegram ботов и Steam профили в качестве каналов связи. Программа использует различные режимы работы для категоризации украденных данных и применяет специфические токены аутентификации для отслеживания и управления жертвами. Выполнение завершается системной очисткой временных артефактов и корректным завершением работы пула потоков.

Согласно анализу специалистов, Vidar 2.0 использует множество техник из матрицы MITRE ATT&CK, включая уклонение от отладки, обнаружение виртуализации, обфускацию файлов и информации, внедрение процессов, обнаружение системной информации, доступ к учетным данным из хранилищ паролей, сбор данных с локальной системы и захват экрана. Для управления и передачи данных программа использует веб-протоколы, сервисы скрытой коммуникации и зашифрованные каналы.

Снижение активности Lumma Stealer и миграция подпольных акторов к альтернативам Vidar и StealC предполагают увеличение распространенности Vidar 2.0 в кампаниях в течение четвертого квартала 2025 года. Технические возможности программы, проверенная репутация разработчиков с 2018 года и конкурентная ценовая политика позиционируют ее как вероятного преемника доминирующего положения Lumma Stealer на рынке.

Упрощенные процедуры передачи данных, расширенные возможности кражи информации и повышенная устойчивость к мерам противодействия направлены на увеличение успешности атак и нарушений безопасности. Улучшенные функции против анализа и быстрое самоудаление создают дополнительные сложности для обнаружения и расследования.

Эволюция Vidar происходит в подходящий момент. Независимо от того, является ли это запланированным действием или совпадением, проактивная защита и непрерывный мониторинг в борьбе с программами для кражи данных остаются критически важными. Организации должны обеспечивать полное использование и регулярное обновление решений для защиты конечных точек, одновременно поддерживая надежные политики управления учетными данными и обучение пользователей для защиты от развивающихся угроз, подобных Vidar.

Система Trend Vision One обнаруживает и блокирует конкретные индикаторы компрометации, связанные с этой угрозой, предоставляя клиентам доступ к запросам поиска, практическим аналитическим данным и отчетам разведки, связанным с Vidar Stealer.

Индикаторы компрометации

URLs

  • https://telegram.me/ahnadar
  • https://steamcommunity.com/profiles/76561198780411257

SHA256

  • 0e90c63363265f75f8637c1a3e9ec277a1ea1a8436dd7561fff59cfb722c6612
  • 1230f3382910e84d542d64e859fb3064958b47bc50508045cbb5b597b987c65b
  • 12934992bb65953861b4dfd7a67d3256eae8da19ee86609aa29b68fb77258e98
  • 1eff512c9b003b08464e071774bd85e43464cce6ad1373463b1f67683d03b956
  • 288ecc39cdde51783dbb171758ec760652bb929ad17d239a43629449a22429c1
  • 29b6a1c08e96ce714f9e1f54a4edde3f5e6b41477db5f89f1bd41d931508bdbf
  • 37d62d7983f7e0012f88e81ba28ad02a839b4d8804851a401b19058ca8cc2cf4
  • 3dc09740ded920e5899a5386c6731de0c89d6bd182fb89073e910b619980899f
  • 5f68157e486413ab276fad629d7af21a53b399c5fa8b1a0cfbd37851ceca0381
  • 8934056f93516a33c4e9eeb2f50aea160860cf229ca6f6ec302bd2c404ebfe59
  • 95368954efa9618c586bdd8978f41f465450caf268d07ca316cf6975f6e15848
  • bcf8a6911bf4033cf4d55caf22d7da9d97275bbb3b0f8fefd1129e86bd4b49f8
Комментарии: 0
Похожие записи
0
20.10.2025
Индикаторы компрометации

Кибербезопасность: обнаружена масштабная атака на оборудование Cisco через уязвимость в SNMP

information security
Эксперты компании Trend Micro обнаружили активную кампанию кибератак под кодовым названием «Operation Zero Disco», в рамках которой злоумышленники эксплуатируют критическую уязвимость в реализации протокола
0
25.07.2025
Индикаторы компрометации

Киберпреступники распространяют вредоносное ПО Vidar через поддельный сайт Disney+

Stealer
Эксперты по кибербезопасности из Unit 42, исследовательского подразделения Palo Alto Networks, обнаружили мошеннический веб-сайт, имитирующий официальный сервис Disney+, который использовался для распространения вредоносного ПО Vidar.