Vidar Stealer 2.0は、GitHubとRedditを悪用し、人気のあるオンラインタイトルのプレイヤーを標的とする大規模なキャンペーンを通じて広がっています。この攻撃では、ゲームチートを探しているユーザーに対して「無料ゲームチート」と偽装されたダウンロードリンクが提供されます。
攻撃手法
攻撃者は、画像の背後にダウンロードリンクを隠し、第三者サイトを通じてリダイレクトすることで、自動検出と取り締まりを困難にしています。これらのキャンペーンは通常、Redditの特定のサブレディットやDiscordコミュニティから始まります。
GitHubでの活動
TRUアナリストは、ゲームチートやハードウェアID解除ツールとして偽装された数百のGitHubリポジトリを確認しました。これらのリポジトリには、実際には数千もの悪意のあるプロジェクトが含まれている可能性があります。
Vidar Stealer 2.0の機能
一旦Vidar 2.0が実行されると、ブラウザ資格情報、クッキー、自動入力データ、Azureトークン、暗号通貨ウォレット、FTP/SSHパスワード、TelegramとDiscordデータ、Steamアーティファクトやローカルファイルを収集し、攻撃者のコントロール下のインフラストラクチャにエクスフィラートします。
ターゲットとなるユーザー
ゲームチートを探しているユーザーは、公式チャネルを通じて情報を得ようとしない傾向があり、セキュリティ警告を無視する可能性が高く、侵害後も報告することに抵抗があるため、攻撃者の見込み客として理想的なターゲットとなります。
Vidar Stealer 2.0の進化
Vidar Stealer 2.0は、C++からCへの完全な書き換えを経てマルチスレッド実行と静的シグネチャを回避する「自動変形機能」を備えた長年のVidarファミリーの重要な進化版です。
セキュリティ対策
セキュリティチームは、ゲーム関連のトラフィックと非承認の実行可能ファイルダウンロードを高リスクとして扱い、厳格なアプリケーション制御ポリシーと「無料チート」がマルウェアベクターであることを明確に教育するユーザーエデュケーションを組み合わせるべきです。