Chrome, Discord и криптокошельки под прицелом. Vidar 2.0 атакует одновременно все хранилища на вашем компьютере

За последние недели активность вредоноса Vidar Stealer резко возросла — новая версия под номером 2.0 вышла на фоне ослабления позиций Lumma Stealer и уже успела привлечь внимание киберпреступников. Обновлённый Vidar получил серьёзные технические доработки, включая полную переработку архитектуры, продвинутые методы обхода защиты и поддержку одновременной кражи данных с разных источников. Его разработчик, известный под псевдонимом Loadbaks, объявил о релизе 6 октября на теневых форумах, а первые всплески заражений фиксировались уже через несколько дней.

Главным техническим отличием новой версии стал полный отказ от C++ в пользу языка C, что, по заявлению автора, позволило добиться лучшей стабильности и производительности. Теперь Vidar работает на многопоточной архитектуре и динамически масштабирует количество потоков в зависимости от мощности заражённой системы, что ускоряет сбор информации и снижает риск быть замеченным до завершения операции.

Значительно усовершенствованы и методы извлечения данных. Vidar 2.0 обходит современные механизмы защиты браузеров, включая внедрение в процессы Chrome и обход системы AppBound, при которой ключи шифрования привязаны к конкретному приложению. Злоумышленникам удаётся получить доступ к сохранённым паролям и другим конфиденциальным данным прямо из оперативной памяти браузера, минуя необходимость дешифровки с диска. Уточняется, что инструмент атакует как хранилища Chrome и Firefox, так и данные из мессенджеров, облачных сервисов и криптокошельков.

Нововведением стала встроенная система обфускации: каждый экземпляр Vidar теперь создаётся с уникальной сигнатурой благодаря встроенному морферу. Это делает статический анализ практически бесполезным, поскольку антивирусные движки не успевают адаптироваться к постоянно изменяющемуся коду. При этом используется метод «уплощения управления потоком» (control flow flattening) с реализацией сложной системы переключения состояний, затрудняющей реверс-инжиниринг. Подобные механизмы ранее замечались в других стилерах, включая Lumma, что указывает на схожие подходы в разработке подобных угроз.

В процессе заражения Vidar 2.0 сначала запускает серию проверок — от выявления отладчиков и песочниц до анализа аппаратных характеристик. Если всё проходит успешно, начинается параллельный сбор информации. Целями становятся сохранённые пароли, история браузеров, куки, формы автозаполнения, ключи к криптокошелькам, данные Telegram, Discord, Steam, учётные данные облачных платформ, а также содержимое папок и внешних накопителей.

Утилита даже делает скриншоты перед тем, как зашифровать и передать собранные данные на сервер. Для этого применяются HTTP-формы, каналы в Telegram и профили Steam, используемые в качестве каналов связи.

По завершении сбора информации вредонос закрывает потоки, удаляет временные артефакты и сворачивает активность, стремясь максимально усложнить расследование инцидента. Анализ специалистов показывает, что архитектура и поведение Vidar 2.0 хорошо спланированы и ориентированы на долгосрочное скрытное применение.

Исходя из совокупности характеристик, Vidar 2.0 может занять освободившуюся нишу после ослабления Lumma и стать одной из самых востребованных вредоносных платформ для кражи данных в четвёртом квартале 2025 года. Учитывая зрелость разработки, адаптивность и невысокую цену (около 300 долларов), этот стилер уже получил широкое распространение.

Специалисты предупреждают, что для обнаружения данной угрозы необходимо использовать многослойную защиту и инструменты поведенческого анализа, а также соблюдать меры цифровой гигиены и управлять учётными записями с повышенным вниманием.