Vidar в 2026 году: от простого стилера к многоступенчатой платформе для кражи данных

По данным нескольких исследовательских команд, в 2026 году активность Vidar резко возросла. Атаки строятся на социальной инженерии: жертв вынуждают самостоятельно выполнять вредоносные команды. Основные каналы - поддельные репозитории на GitHub, фишинговые страницы с капчами и форумы игровых читов. Например, злоумышленники создают репозитории, имитирующие утёкшие инструменты разработки вроде Claude Code. Пользователи, доверяя знакомой платформе, запускают загруженные файлы и открывают путь инфекции.

Другой популярный вектор - поддельные страницы проверки "я не робот" (ClickFix). На них написано, что для доступа к контенту нужно скопировать команду в консоль или ввести её в окне "Выполнить". Эта команда запускает PowerShell или mshta, которые загружают Vidar. Игровые сообщества тоже под ударом. На Reddit и Discord распространяют "бесплатные читы", в которых спрятана полезная нагрузка.

Техническая сторона атаки выглядит особенно изощрённо. Всё начинается с Go-компилированного дроппера. Этот формат позволяет обходить статические антивирусные анализаторы, так как Go-бинарники крупнее и сложнее для распознавания. Дроппер создаёт VBScript-файл в папке Temp. Тот в свою очередь вызывает скрытую оболочку PowerShell. Анализ специалистов Point Wild показывает, что PowerShell содержит Base64-закодированную команду, которая после декодирования устанавливает соединение с IP-адресом 62.60.226.200. [Исследование] этой команды детально описывает дальнейшие шаги: скрипт загружает JPEG-файл 160066.jpg, внутри которого спрятаны маркеры BASE64_START и BASE64_END. Извлечённая строка декодируется и отражается в памяти как сборка .NET.

Загрузчик использует легитимную утилиту RegAsm.exe для выполнения кода. Это характерный пример техники "жизнь за счёт земли" (использование штатных инструментов Windows). Вредоносная нагрузка никогда не записывается на диск, что сильно затрудняет обнаружение. Дополнительно строки хранятся в перевёрнутом виде: например, протокол "http" превращается в "ptth". Некоторые части адреса разбиты на фрагменты и собираются динамически. Такие приёмы усложняют как статический, так и динамический анализ.

После загрузки второй стадии проверяется наличие отладчика. Если всё чисто, управление передаётся финальному полезному грузу - самому Vidar. Он написан на C++ и защищён криптором, который не позволяет увидеть импортированные функции. В процессе работы код динамически разрешает Win32 API с помощью XOR-дешифровки строк. Это скрывает, какие именно системные вызовы используются. Видар собирает данные из браузеров, криптокошельков и менеджеров паролей. Всего под прицелом более двухсот расширений для Chrome и Edge. В список входят MetaMask, Binance Wallet, LastPass, Bitwarden, 1Password и множество других популярных плагинов.

Для вывода украденной информации злоумышленники применяют инфраструктуру Telegram и Cloudflare. Сначала данные направляются на промежуточный домен pre.sequareeus.online, который маскирует истинный пункт назначения. Этот домен обслуживается через сеть доставки контента Cloudflare, что придаёт трафику легитимный вид. Затем данные переправляются на Telegram-страницу telegram[.]me/nwwfh8. Такая схема усложняет блокировку: блокировать весь трафик к Telegram нельзя, а конкретный бот или канал можно быстро сменить.

Активность Vidar продолжает расти. По данным аналитических платформ, в 2026 году он вышел в лидеры среди похитителей информации. Разработчики постоянно совершенствуют методы распространения и обхода защит. Особенно опасна способность атаковать корпоративные среды через доверенные репозитории и популярные сервисы. Один скомпрометированный аккаунт на GitHub может привести к заражению сотен компьютеров.

Для защиты необходимо обращать внимание на подозрительные команды, которые пользователь выполняет вручную. Компаниям стоит внедрить политику многофакторной аутентификации и мониторинг запуска скриптовых сред (PowerShell, WScript). Однако ключевой вывод исследования в другом: современные стилеры превратились в сложные платформы. Бороться с ними нужно на всех этапах - от начального заражения до эксфильтрации. Исследователи Point Wild подчёркивают, что теперь это не просто кража паролей, а модульная адаптивная система, нацеленная на масштабное и скрытное хищение данных.

Domains

• pre.sequareeus.online

URLs

• http://62.60.226.200/public_files/160066.jpg?12711313
• http://62.60.226.200/public_files/KGVn4OY.txt
• telegram.me/nwwfh8

MD5

• 1ae75df0464bbcc6e478c79165a58625
• 34813b1dfef4cadc47baa27890b15f95
• 371de4bf1d1acdc2ba3bf1eaef0a8a99
• 4d79f169a1567c7ae88e11ba55aa7ba1
• 723ab9ada25d00d400f40bbac43d765b
• 9d87e76783d6012b1bb42798e85e376a
• d047d8244397ab3a7581f885c7840f45
• fbb635df89fcbaff0248724410f2a9ed