Το Vidar, μια από τις πιο ενεργές οικογένειες κακόβουλων προγραμμάτων που κλέβουν πληροφορίες, έχει πάρει νέα μορφή το 2026.
Οι ερευνητές ανακάλυψαν ότι η τελευταία του έκδοση κρύβει τώρα ωφέλιμα φορτία δεύτερου σταδίου μέσα σε αρχεία εικόνας JPEG και έγγραφα TXT, καθιστώντας πολύ πιο δύσκολο για τα εργαλεία ασφαλείας να πιάσουν.
Αυτή η αλλαγή σηματοδοτεί μια σημαντική αλλαγή στον τρόπο με τον οποίο το κακόβουλο λογισμικό φτάνει στους στόχους του και κλέβει ευαίσθητα δεδομένα από θύματα σε όλο τον κόσμο.
Από την πρώτη του εμφάνιση το 2018, η Vidar ξεκίνησε ως βασικός κλέφτης διαπιστευτηρίων βασισμένος στο πλαίσιο Arkei.
Με τα χρόνια, εξελίχθηκε σε κάτι πολύ πιο επικίνδυνο. Μέχρι το 2026, έχει αγκαλιάσει ένα Το μοντέλο Malware-as-a-Service (MaaS), υποστηρίζει αλυσίδες παράδοσης πολλαπλών σταδίων και χρησιμοποιεί πλατφόρμες κοινωνικών μέσων όπως το Telegram για λειτουργίες εντολής και ελέγχου.
Το κακόβουλο λογισμικό δεν κλέβει πλέον απλώς κωδικούς πρόσβασης. Τώρα εκτελεί ολόκληρες αλυσίδες μόλυνσης μέσα στη μνήμη ενός υπολογιστή, αφήνοντας πολύ λίγα ίχνη πίσω στο μολυσμένο σύστημα.
Αναλυτές από την ομάδα πληροφοριών Lat61 Threat στο Point Wild εντόπισαν αυτή τη νέα παραλλαγή και δημοσίευσαν τα ευρήματά τους στις 24 Απριλίου 2026. Οι ερευνητές Kedar Shashikant Pandit και Prathamesh Shingare εξέτασαν τον πλήρη κύκλο ζωής της μόλυνσης, από το πρώτο σημείο εισόδου μέχρι την τελική φάση διήθησης δεδομένων.
Η ανάλυσή τους αποκάλυψε ότι αυτή η συγκεκριμένη παραλλαγή Vidar εξαρτάται σε μεγάλο βαθμό από ασαφή σενάρια, αξιόπιστα εργαλεία των Windows και σταδιακή παράδοση μέσω μη εκτελέσιμων μορφών αρχείων για να παραμείνει κρυφή από εργαλεία ασφαλείας.
Το κακόβουλο λογισμικό εξαπλώνεται μέσω πολλαπλών σημείων εισόδου. Ψεύτικα αποθετήρια GitHub μεταμφιεσμένα ως εργαλεία προγραμματιστών ή λογισμικό που διέρρευσε έχουν χρησιμοποιηθεί για τη διανομή του Vidar. Παραβιασμένοι ιστότοποι WordPress και Οι ψεύτικες σελίδες CAPTCHA, γνωστές ως σελίδες ClickFix, ξεγελούν τους χρήστες να εκτελούν εντολές των Windows που ενεργοποιούν την αλυσίδα μόλυνσης.
Οι κοινότητες τυχερών παιχνιδιών έχουν επίσης στοχοποιηθεί μέσω αποθετηρίων ψεύτικων εργαλείων εξαπάτησης που κοινοποιούνται σε πλατφόρμες όπως το GitHub, το Discord και το Reddit, όπου οι χρήστες είναι πιο πιθανό να αγνοήσουν τις προειδοποιήσεις ασφαλείας με αντάλλαγμα τα πλεονεκτήματα του παιχνιδιού.
Η καμπάνια έχει μεγάλο αντίκτυπο. Το Vidar στοχεύει πάνω από 200 επεκτάσεις προγράμματος περιήγησης, συμπεριλαμβανομένων πορτοφολιών κρυπτογράφησης όπως MetaMask, Phantom και Coinbase Wallet, μαζί με διαχειριστές κωδικών πρόσβασης όπως Bitwarden, LastPass και KeePass.
Αυτό υπερβαίνει την απλή κλοπή διαπιστευτηρίων και θέτει τόσο άτομα όσο και οργανισμούς σε σοβαρό κίνδυνο οικονομικής απώλειας και έκθεσης δεδομένων μεγάλης κλίμακας.
Μηχανισμός μόλυνσης: Πώς εκτελείται το Vidar μέσω σταδιακής παράδοσης αρχείων
Η μόλυνση ξεκινά με ένα δυαδικό σταγονόμετρο μεταγλωττισμένο Go που λειτουργεί ως το αρχικό σημείο εισόδου. Δεδομένου ότι η Go δεν είναι μια γλώσσα που συνήθως συνδέεται με κακόβουλο λογισμικό, αυτή η επιλογή βοηθά το δείγμα να αποφύγει τον εντοπισμό από πολλά παραδοσιακά εργαλεία ασφαλείας.
Μόλις εκτελεστεί, το σταγονόμετρο τοποθετεί ένα αρχείο VBScript με το όνομα ewccbqtllunx.vbs στο φάκελο Temp Windows.
.webp)
Το VBScript ελέγχει πρώτα εάν το σύστημα εκτελείται σε περιβάλλον sandbox. Εάν εντοπιστεί ένα sandbox, το σενάριο τερματίζεται αμέσως. Εάν όχι, δημιουργεί μια ασαφή εντολή PowerShell και την εκτελεί με ένα κρυφό παράθυρο.
.webp)
Το αρχείο φαίνεται να είναι μια κανονική εικόνα, αλλά περιέχει ένα κρυφό ωφέλιμο φορτίο Base64 μεταξύ προσαρμοσμένων δεικτών με τις ετικέτες BASE64_START και BASE64_END.
Το κακόβουλο λογισμικό εντοπίζει αυτούς τους δείκτες, βγάζει το κωδικοποιημένο περιεχόμενο, αποκωδικοποιεί τα πάντα στη μνήμη και φορτώνει το αποτέλεσμα ως συγκρότημα .NET χωρίς να αποθηκεύει τίποτα στο δίσκο.
Στη συνέχεια, ένα δεύτερο αίτημα ανακτά το KGVn4OY.txt από τον ίδιο διακομιστή. Αυτό το αρχείο κειμένου περιέχει αντίστροφο και ασαφές περιεχόμενο Base64. Το κακόβουλο λογισμικό αντιστρέφει τη συμβολοσειρά, αντικαθιστά ανεπιθύμητους χαρακτήρες, αποκωδικοποιεί το αποτέλεσμα και το εκτελεί εξ ολοκλήρου στη μνήμη.
Το τελικό ωφέλιμο φορτίο είναι ένα εκτελέσιμο C++ 64-bit που προστατεύεται από έναν κρυπτογράφηση που επιλύει τις κλήσεις API των Windows κατά το χρόνο εκτέλεσης για να αποφύγει τον εντοπισμό.
Οι ομάδες ασφαλείας θα πρέπει να αποκλείουν τις εξερχόμενες συνδέσεις για να κατευθύνουν τελικά σημεία HTTP που βασίζονται σε IP, να παρακολουθούν για WScript και Το PowerShell επεξεργάζεται αλυσίδες αναπαραγωγής, περιορίζει την εκτέλεση του RegAsm.exe μόνο σε υπογεγραμμένες, επαληθευμένες διεργασίες και ελέγχει τακτικά τα περιεχόμενα του φακέλου εκκίνησης για μη εξουσιοδοτημένες τροποποιήσεις.
VIA: cybersecuritynews.com
