Bezpečnostní výzkumníci varují, že infekce malwarem Vidar Stealer pravděpodobně vzrostou poté, co vývojář vydal novou hlavní verzi s vylepšenými schopnostmi.
Podle oznámení vývojáře z tohoto měsíce byl Vidar 2.0 přepsán v jazyce C, podporuje vícevláknovou krádež dat, obchází šifrování Chrome vázané na aplikaci a disponuje pokročilejšími mechanismy vyhýbání se detekci.
Infostealer malware se specializuje na krádež dat z prohlížečů a dalších aplikací, včetně hesel, informací o kreditních kartách a údajů o kryptoměnových peněženkách.
Vydání Vidar 2.0 přichází v době, kdy Lumma Stealer, další významný hráč v této oblasti, vykazuje rychlý pokles aktivity po doxingové kampani proti jeho klíčovým operátorům.
Vidar 2.0 cílí na širokou škálu dat, včetně cookies a automatického vyplňování v prohlížečích, rozšíření kryptoměnových peněženek a desktopových aplikací, cloudových přihlašovacích údajů, Steam účtů a dat z Telegramu a Discordu.
Klíčová vylepšení verze 2.0
Podle zprávy výzkumníků aktivita Vidaru vzrostla od vydání druhé hlavní verze, která přináší následující novinky:
Kompletní přepsání z C++ do C, nyní spoléhá na méně závislostí a má lepší výkon při mnohem menší velikosti.
Podpora vícevláknového CPU, kde jsou pracovní vlákna pro krádež dat spouštěna současně, což paralelizuje sběr a zkracuje dobu přítomnosti v systému.
Rozsáhlé kontroly proti analýze, včetně detekce debuggeru, časových kontrol, doby provozu a profilování hardwaru.
Builder nabízí možnosti polymorfismu s rozsáhlým zploštěním toku řízení a numerickými konstrukcemi stavových automatů, což ztěžuje statickou detekci.
Obcházení ochrany šifrování Chrome vázaného na aplikaci pomocí technik injektáže do paměti.
Jakmile Vidar 2.0 shromáždí všechna data, ke kterým má na infikovaném počítači přístup, pořídí snímky obrazovky, vše zabalí a odešle na doručovací body, které zahrnují Telegram boty a URL adresy uložené v Steam profilech.
Zdroj: bleepingcomputer.com
