Обновлённый стилер Vidar использует Telegram и Steam для управления и скрывает свою активность от "песочниц"

От .NET к Go: принципиальный сдвиг

Ранее большинство образцов Vidar представляли собой приложения на .NET или скомпилированные C++ файлы. Нынешняя версия 1.5, обнаруженная 13 мая 2026 года, полностью переписана на Go 1.25.4. Эксперты, изучавшие образец, отметили, что такой подход делает анализ сложнее: Go-код тяжелее поддаётся дизассемблированию и статическому анализу из-за специфической структуры рантайма. Размер файла вырос почти до 7,2 МБ, что необычно для стилера, но может быть платой за использование универсальной библиотеки Go и встроенных криптографических функций.

При этом авторы не стали изобретать велосипед в части архитектуры взаимодействия с командным центром (C2). Как и в более ранних кампаниях, которые описывали специалисты Datadog и Malwarebytes, новый образец использует комбинацию прямого HTTPS-соединения и так называемых "мёртвых почтовых ящиков" - публичных страниц Telegram и Steam. Эти площадки служат резервными каналами для получения актуального IP-адреса C2. В отчёте аналитиков говорится, что в данном случае задействованы телеграм-канал t.me/hgo9tx и профиль Steam с ID 76561198707628078. Такой механизм позволяет операторам менять серверы без переупаковки вредоноса: достаточно обновить поле описания в профиле или сообщение в Telegram.

Двенадцать проверок на "не песочницу"

Одна из главных особенностей новой версии - продвинутая система детекции исследовательских сред. Вредонос выполняет двенадцать различных тестов, от проверки объёма оперативной памяти и диска до анализа числа ядер процессора и аптайма системы. Из девяти основных проверок должно успешно пройти не менее шести, иначе программа самозавершается. При этом учитывается даже тип учётной записи: "John", "sandbox" и "WDAGUtilityAccount" попадают в чёрный список, как и имена компьютеров вроде "JOHN-PC" и "SANDBOX".

Особое внимание уделено антивирусным решениям. В теле бинарника найден список из более чем 30 процессов, соответствующих популярным продуктам: Avast, ESET, Kaspersky, BitDefender, McAfee, Norton, Malwarebytes и даже встроенному защитнику Windows (MsMpEng.exe). При обнаружении любой из этих программ вредонос снижает свой "рейтинг" песочницы - чем больше антивирусов, тем выше вероятность, что среда признана реальной, и выполнение продолжается. Кроме того, образец явно проверяет наличие хук-библиотеки aswhook.dll от Avast и драйвера файловой системы Kaspersky (kavfs.exe).

Арсенал для внедрения в процессы

Стилер не просто собирает данные - он активно вторгается в работу других приложений. В коде обнаружены вызовы NtCreateThreadEx, NtWriteVirtualMemory, VirtualAllocEx и других функций, типичных для внедрения шелл-кода. Эта техника используется Vidar для кражи ключей шифрования из памяти браузеров. Вредонос запускает браузер в режиме отладки, внедряет туда полезную нагрузку и извлекает учётные данные прямо из работающего процесса. Такой подход позволяет обходить защиту типа AppBound, которую внедрил Google Chrome, а также аналогичные механизмы в других браузерах на основе Chromium.

Примечательно, что в новом образце используется целый набор криптографических примитивов: AES с аппаратным ускорением (AES-NI), ChaCha20, Salsa20, RC4, Base64 и даже MurmurHash3. Специалисты подчёркивают: такой набор избыточен для простого расшифровывания конфигурации стилера. Скорее всего, часть функций применяется для шифрования трафика или обфускации самих украденных данных перед отправкой.

Как работает обновлённая связь

Командный сервер (C2) расположен на IP 135.181.237[.]59, который относится к хостингу Hetzner в Финляндии. Соединение идёт через HTTPS с использованием библиотеки WinHTTP - не стандартного HTTP-клиента Go, что может быть сделано для маскировки под легитимный трафик. При первом контакте стилер отправляет POST-запрос с multipart/form-data, содержащий два поля: hwid (оборудование) и build_id (идентификатор сборки). Для запросов к резервным каналам (Telegram и Steam) используется User-Agent браузера Firefox 140 на macOS, а для прямого C2 - Firefox 153 на Windows. Такая подмена помогает избежать подозрений на сетевом уровне.

Идентификатор ботнета для данного образца - 702ef1b4007f07887e9faaee0667b50b. Это указывает на то, что сборка принадлежит к отдельной ветке, отличной от тех, что описывались в кампаниях октября 2025 года и марта 2026. Версия стилера - 1.5, что говорит о постепенном, но непрерывном развитии проекта.

Что это значит для безопасности

Появление Go-версии Vidar усложняет задачу для систем обнаружения. Статические сигнатуры, рассчитанные на .NET или C++, могут не сработать. Увеличенный размер файла и использование популярного языка компиляции также снижают эффективность эвристических анализаторов. Система "двенадцати проверок" делает практически невозможным автоматический анализ в изолированных средах - большинство онлайн-песочниц выдадут ложноотрицательный результат. А использование публичных платформ для C2 означает, что даже если один канал заблокируют, операторы быстро переключатся на другой.

Для специалистов по информационной безопасности это означает необходимость обновления правил детекции, особенно в части поиска Go-бинарников, которые обращаются к API Telegram и Steam. Также стоит обратить внимание на аномальные DNS-запросы к профилям Steam и страницам Telegram, а на хостовом уровне - на процессы, которые запускают браузеры в скрытом режиме и обращаются к памяти. Сам факт, что в 2026 году мы видим активное развитие стилера, чьи первые версии появились почти восемь лет назад, говорит о высокой жизнеспособности данного типа угроз. Vidar остаётся серьёзным игроком на чёрном рынке, и его новая версия это только подтверждает.

IPv4

• 135.181.237.59

IPv4 Port Combinations

• 135.181.237.59:443
• 142.250.151.94:80
• 149.154.167.99:443
• 2.22.96.50:443

URLs

• https://steamcommunity.com/profiles/76561198707628078
• https://telegram.me/hgo9tx

MD5

• 87332fcdf79e1c0bfb7713e9a52c0313

SHA1

• 488d2dd8768e3b804179e7f0cdcebd0a7eec52b3

SHA256

• 2995ffb73342453b258926ec865c724e3567eee1bb8eb35d61796ee0c4f25105