Pesquisadores de segurança alertam para o provável aumento das infecções pelo Vidar Stealer após o lançamento de uma nova versão significativa do malware, agora com capacidades aprimoradas.
Conforme anunciado pelo desenvolvedor neste mês, o Vidar 2.0 foi totalmente reescrito em C, passou a suportar multithreading para roubo simultâneo de dados, conseguiu contornar a criptografia app-bound do Chrome e ganhou mecanismos avançados de evasão.
Esse malware do tipo infostealer é especializado no roubo de dados de navegadores e outros aplicativos, incluindo senhas, informações de cartões de crédito e carteiras de criptomoedas.
O lançamento do Vidar 2.0 ocorre em um momento em que o Lumma Stealer, outro ator importante no segmento, registra um rápido declínio em sua atividade após uma campanha de doxing contra seus principais operadores.
O Vidar 2.0 tem como alvo uma ampla variedade de informações, como cookies e dados de preenchimento automático de navegadores, extensões e aplicativos desktop de carteiras de criptomoedas, credenciais em nuvem, contas Steam, além de dados do Telegram e do Discord.
De acordo com relatório de pesquisadores da Trend Micro, a atividade do Vidar disparou desde o lançamento dessa segunda grande versão, que traz as seguintes melhorias:
- Reescrita completa de C++ para C, reduzindo dependências, melhorando o desempenho bruto e diminuindo significativamente o footprint.
- Suporte a multithreading no CPU, permitindo que múltiplas threads trabalhem simultaneamente para acelerar a coleta e reduzir o tempo de permanência.
- Verificações extensas contra análise, incluindo detecção de depurador, checagem de tempo, uptime do sistema e perfilamento de hardware.
- O builder oferece opções de polimorfismo, com técnicas intensas de flattening no fluxo de controle e uso de máquinas de estado numéricas, dificultando a detecção estática.
- Evasão da proteção de criptografia app-bound do Chrome por meio de técnicas de injeção na memória.
“Além disso, o malware usa um método avançado que executa os navegadores com o modo de depuração ativado e injeta código malicioso diretamente nos processos em execução, utilizando shellcode ou injeção reflexiva de DLL”, explica a Trend Micro.
“O payload injetado consegue extrair as chaves de criptografia diretamente da memória do navegador e comunica essas chaves roubadas de volta ao processo principal do malware via named pipes, evitando deixar rastros no disco.”
“Dessa forma, o Vidar 2.0 consegue contornar as proteções da criptografia app-bound do Chrome ao capturar as chaves na memória ativa, em vez de tentar descriptografá-las no armazenamento.”
A criptografia app-bound do Chrome, implementada em julho de 2024, já foi ultrapassada por diversas famílias de infostealer ao longo do tempo.
Após coletar todas as informações possíveis da máquina infectada, o Vidar 2.0 captura screenshots, empacota os dados e os envia para pontos de entrega, incluindo bots no Telegram e URLs armazenadas em perfis da Steam.
Pesquisadores da Trend Micro afirmam que o Vidar 2.0 deve se tornar ainda mais presente em campanhas ao longo do quarto trimestre de 2025, já que “as capacidades técnicas do malware, sua trajetória consistente desde 2018 e a competitividade do preço o posicionam como provável sucessor do Lumma Stealer no domínio do mercado”.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...