セキュリティ研究者は、マルウェア開発者が新たな主要バージョンをリリースし、機能が強化されたことにより、Vidar Stealerの感染が増加する可能性が高いと警告しています。
今月の開発者からの発表によると、Vidar 2.0はC言語で書き直され、マルチスレッドによるデータ窃取をサポートし、Chromeのアプリバウンド暗号化を回避し、さらに高度な回避メカニズムを備えています。
インフォスティーラーマルウェアは、パスワードやクレジットカード情報、暗号通貨ウォレット情報など、ブラウザやその他のアプリからデータを盗むことを専門としています。
出典: Trend Micro
Vidar 2.0のリリースは、同分野のもう一つの主要な存在であるLumma Stealerが、主要運営者に対するドクシングキャンペーンの後、急速に活動が減少している時期に行われました。
Vidar 2.0は、ブラウザのクッキーや自動入力、暗号通貨ウォレットの拡張機能やデスクトップアプリ、クラウド認証情報、Steamアカウント、Telegram、Discordデータなど、幅広いデータを標的としています。
出典: Trend Micro
Trend Microの研究者によるレポートによると、Vidarの活動は第2世代のリリース以降急増しており、主な特徴は以下の通りです。
- C++からCへの完全な書き換えにより、依存関係が減少し、より小さなフットプリントで生のパフォーマンスが向上。
- マルチスレッドCPUサポートにより、データ窃取ワーカースレッドが同時に生成され、収集の並列化と滞在時間の短縮を実現。
- デバッガ検出、タイミングチェック、稼働時間、ハードウェアプロファイリングなど、広範な解析回避チェック。
- ビルダーは、制御フローのフラット化や数値状態マシンスイッチ構造によるポリモーフィズムオプションを提供し、静的検出を困難に。
- メモリインジェクション技術によるChromeのApp-Bound暗号化保護の回避。
「このマルウェアは、デバッグを有効にしてブラウザを起動し、シェルコードまたはリフレクティブDLLインジェクションを使用して、実行中のブラウザプロセスに直接悪意のあるコードを注入する高度な手法も採用しています」とTrend Microは説明しています。
「注入されたペイロードは、暗号化キーをブラウザのメモリから直接抽出し、盗まれたキーをディスク上の痕跡を残さないように名前付きパイプ経由でメインマルウェアプロセスに送信します。」
「この手法により、ストレージから復号を試みるのではなく、アクティブメモリからキーを盗むことで、ChromeのAppBound暗号化保護を回避できます。」
出典: Trend Micro
ChromeのAppBound暗号化は、2024年7月に導入されましたが、複数のインフォスティーラーマルウェアファミリーに時間をかけて回避されています。
Vidar 2.0は感染したマシンでアクセス可能なすべてのデータを収集した後、スクリーンショットを取得し、すべてをパッケージ化して、TelegramボットやSteamプロファイル上に保存されたURLなどの配信ポイントに送信します。
Trend Microの研究者は、「マルウェアの技術的能力、2018年からの開発者の実績、競争力のある価格設定により、Vidar 2.0はLumma Stealerの市場支配的地位の後継者となる可能性が高い」として、2025年第4四半期までにVidar 2.0がキャンペーンでより広く使われるようになると予想しています。
