Используете Kaspersky или другой антивирус? Поздравляем — Vidar v1.5 знает их по именам и подстраивается под вашу защиту

Vidar Stealer снова напомнил о себе не громкой кампанией, а сменой облика. Вредонос, который годами крал пароли из браузеров и данные криптокошельков, всё чаще уходит от привычных сборок на .NET и C++, а новая версия показывает, что операторы уделяют не меньше внимания маскировке, чем самой краже данных.

Независимый исследователь Мэтт Киркленд, также известный как Kirk, изучил образец Vidar v1.5, загруженный в Triage 13 мая 2026 года. Файл оказался 64-битным PE-приложением размером около 7 МБ, написанным на Go 1.25.4. Образец получил максимальную оценку риска в Triage и относится к семейству Vidar, но использует отдельную инфраструктуру, собственный идентификатор ботнета и новый набор адресов для связи с операторами.

Главная особенность сборки — жёсткая проверка среды перед запуском вредоносной логики. Vidar оценивает систему по 12 категориям, включая наличие интернета, отладчика, объём памяти и диска, число ядер CPU, время работы системы, имя пользователя, имя компьютера и запущенные защитные продукты. При недостаточном числе успешных проверок программа завершает работу. В коде также применяется NtSetInformationThread с флагом HideFromDebugger, чтобы мешать анализу.

Отдельно вредонос ищет процессы популярных антивирусов и защитных решений, включая продукты Avast, ESET, Trend Micro, McAfee, Kaspersky, Microsoft Defender, BitDefender, Norton и Malwarebytes. В образце нашли строки, связанные с проверками Avast и Kaspersky, что говорит о точечной настройке против защитного ПО.

Сборка умеет работать с памятью других процессов. В коде присутствуют вызовы NtCreateThreadEx, NtWriteVirtualMemory, VirtualAllocEx, WriteProcessMemory и другие функции, которые обычно используют для внедрения в процессы. Такой набор возможностей совпадает с прежними описаниями техник Vidar, когда вредонос запускал браузеры в режиме отладки и вытаскивал ключи шифрования из памяти.

Для связи с управляющей инфраструктурой Vidar использует WinHTTP и обращается к серверу 135[.]181[.]237[.]59 через HTTPS на 443-м порту. Адрес размещён у Hetzner в Финляндии. Вредонос отправляет данные в формате multipart form-data с полями hwid и build_id. Дополнительно сборка обращается к страницам Telegram и Steam, которые служат резервным механизмом поиска актуального управляющего адреса. Такой подход позволяет операторам менять инфраструктуру без пересборки файла.

Похожую схему ранее описывали Datadog Security Labs и Malwarebytes, но найденный образец относится к отдельной ветке. Специалисты также выделили в нём набор криптографических примитивов, включая AES-NI, ChaCha20, RC4, Base64 и MurmurHash3, а также работу с API Windows для расшифровки данных браузеров. Всё указывает на развитие Vidar как гибкого инфостилера, который пытается дольше оставаться незаметным в песочницах и аналитических средах.