Vidarマルウェア、検出回避のためにJPEG、TXTファイルにペイロードを隠蔽

Vidarは基本的なArkeiベースの認証情報盗聴ツールから、多段階ステルス型の情報盗聴ツールへと進化し、現在は最新の防御を回避するためにJPEGおよびTXTファイル内に第2段階ペイロードを隠蔽しています。

2018年に最初に観察されたVidarは、現在柔軟な配信、多段階実行、および強力なデータ盗聴機能を備えた成熟したマルウェア・アズ・ア・サービス（MaaS）として機能しています。

攻撃者は、GitHubおよび他の開発者プラットフォーム上の偽の「Claude Code」リポジトリを含む、トレンドトピックと信頼できるエコシステムを悪用して、漏洩したツールやユーティリティを装ってVidarを配布します。

Malwarebytes、Acronis TRU、Zscaler、およびPoint Wildからの最近の研究は、ファミリーが単純な盗聴者の行動から、ソーシャルエンジニアリング、ランド・オフ・ザ・ランドバイナリ（LOLBins）、およびファイルレス実行をブレンドした階層化された攻撃フレームワークにシフトしたことを示しています。

初期エントリポイントとして機能するGo言語でコンパイルされたドロッパーバイナリで始まる多段階実行フロー。

並行して、大規模なキャンペーンはGitHub、Reddit、Discord、および侵害されたWordPressサイトを悪用して、偽のゲームチート、悪意のあるインストーラー、およびClickFix形式の偽のCAPTCHAフローを介してVidarをプッシュします。

ユーザー駆動型、エクスプロイト駆動型ではない

• 悪意のあるGitHubリポジトリは、クラックされたソフトウェア、開発者ツール、または「Claude Code」リークを装い、トロイ化されたプロジェクト内にVidarローダーをシードします。
• ハックされたサイト上の偽のCAPTCHAおよびClickFixページは、Cloudflareの「あなたは人間ですか？」チェックを模倣し、感染チェーンをブートストラップするmshta、PowerShell、またはnslookupコマンドを実行するようにユーザーに指示します。
• GitHub経由で配布される人気のあるゲーム、Reddit、Discordの「無料チート」パッケージは、正当なチートバイナリの代わりにVidar 2.0を静かにインストールします。
• 訪問者をVidarローダーをホストする攻撃者インフラストラクチャにリダイレクトする、侵害されたWordPressおよび他のCMSベースのサイト。

これらの戦術により、攻撃者はエクスプロイト中心の防御をバイパスしながら、開発者およびゲームエコシステムにおけるユーザーの信頼を乗っ取ることができます。

Point Wildの分析は、初期侵害後に何が起こるかに焦点を当て、VidarのJPEGの第2段階ペイロードとIPのみのサーバーでホストされているTXTファイルを隠す洗練された多段階チェーンを公開しています。

サンプルは、Go言語（Go 1.25.7）を使用してコンパイルされた64ビットPEバイナリとして識別されます。これは、通常C/C++または.NETフレームワークに依存する従来のマルウェアファミリーとすぐに区別されます。

観察されたフローは、Go言語でコンパイルされた64ビットドロッパーで始まります。これは、チェーンを続行するために使用される埋め込みPowerShellを含むVBScriptローダーをデプロイします。

PowerShellは、IP アドレス（62[.]60[.]226[.]200）にHTTP経由で直接接続し、/public_files/ディレクトリから160066.jpgという名前のファイルを取得します。

画像コンテンツタイプで提供されていますが、「JPEG」は実際にはカスタムマーカー（<<BASE64_START>> / <<BASE64_END>>）の間に隠された Base64 エンコードペイロードを含んでおり、スクリプトはこれを抽出、反転、クリーン、および完全にメモリ内でデコードします。デコードされたバイトは .NET アセンブリとして反射的にロードされ、ディスクへのファイル書き込みを回避します。

同じIPへの2番目のリクエストは、TXTリソース（/public_files/KGVn4OY.txt）を取得します。これは追加の大きな、難読化されたペイロードを含みます。

WScript → PowerShell → ConHost → RegAsmのチェーニングは、スクリプト駆動型ローダーが.NET実行フェーズへ移行していることを強く示しています。

このコンテンツはメモリ内で逆転、難読化を解除され、Base64デコードされ、別のメモリ内コンポーネントとして実行されます。これは、良性のウェブおよびテキストトラフィックに見えるように設計されたJPEGプラスTXTステージングモデルのチェーンを実証しています。

ファイルレス.NETステージおよびLOLBin悪用

画像埋め込みペイロードをデコードした後、感染はSystem.Reflection.Assembly::Loadを介してロードされる.NETステージに移動し、実行をファイルレスに保ちます。メモリ内で平文文字列を再構築するバイト単位のXOR復号化ループ。

マルウェアは、正当な.NET登録ユーティリティであるRegAsm.exeを実行プロキシとして悪用し、悪意のあるメソッド名を動的に構築して反射的に呼び出します。

このステージは、反転および難読化されたURLからさらにペイロードを取得し、プロセスインジェクションをサポートし、オプションでスタートアップフォルダの変更やバッチファイルのコピーを介して永続性を確立できます。

.NETアセンブリ自体は、ランダム化されたシンボル、暗号化された文字列、および歪んだ制御フローを使用した商用難読化（SmartAssembly）で保護されており、静的分析を妨げます。

難読化を解除されたロジックは明確なパターンを示しています。HTTP経由でテキストベースのペイロードを取得し、文字列を反転およびクリーンし、Base64をバイトにデコードし、結果のアセンブリを反射的にロードするか別のプロセスにインジェクトします。すべてファイルシステムに触れることなく。

RegAsm.exeプロセスのネットワーク監視は、Telegramインフラストラクチャ（149.154.167.99）に関連するIPへのアウトバウンドHTTPS接続、およびドメインpre[.]sequareeus[.]onlineにリンクされた104.21.19.141でのCloudflareフロントインフラストラクチャを示しています。

このドメインは、感染したホストとTelegramホストリソース間のプロキシレイヤーとして機能し、信頼できるCDNおよびメッセージングプラットフォーム経由でデータをトンネリングすることにより、真のバックエンドをマスクしているようです。

Point Wildは、telegram[.]me/nwwfh8などのTelegram URLへの参照も観察しており、Vidar演算子がTelegramチャネルまたはボットを秘密のC2およびデータ流出リレーとして活用していることを示しています。

前世代と一貫して、Vidarの最終ペイロードは、認証情報、ブラウザデータ、および暗号資産を大規模に収集することに焦点を当てています。

この設計により、攻撃者はインフラストラクチャ管理をオフロードしながら、悪意のあるトラフィックを通常の暗号化されたメッセージングおよびCloudflare保護 ウェブトラフィックと混合することができます。

最近の分析は、ChromeおよびEdgeプロファイル、複数のパスワードマネージャー、2FA拡張機能、およびWeb3および暗号ウォレット拡張機能の幅広い範囲の攻撃的なターゲティングを強調しており、アカウント乗っ取りとデジタル資産の直接窃盗を可能にします。

ソーシャルエンジニアリング、JPEG/TXTベースのステージング、ファイルレス.NET実行、LOLBin悪用、およびTelegramバックアップC2を組み合わせることで、最新のVidarキャンペーンは、従来のマルウェアシグネチャまたは単純なURL評判のみを使用して検出することが難しい、低ノイズで高インパクトな脅威を表します。

侵害のインジケータ