Vidar Stealer 2.0の登場:脅威の進化
セキュリティ研究者たちは、マルウェア開発者がアップグレードされた機能を備えた新しいメジャーバージョンをリリースしたことを受け、Vidar Stealerの感染が大幅に増加する可能性があると警告しています。2025年10月21日、開発者からの発表によると、Vidar 2.0はC言語で書き直され、マルチスレッドでのデータ窃取をサポートし、ChromeのApp-Bound暗号化をバイパスし、より高度な回避メカニズムを備えています。
インフォスティーラー型マルウェアは、パスワード、クレジットカード情報、仮想通貨ウォレット情報など、ブラウザやその他のアプリケーションからデータを窃取することに特化しています。Vidar 2.0のリリースは、この分野のもう一つの主要なプレイヤーであるLumma Stealerの活動が、主要なオペレーターに対するドクシングキャンペーンの後、急速に減少している時期と重なります。
主要な新機能と技術的進化
Trend Microの研究者による報告によると、Vidar 2.0のリリース以来、その活動は急増しており、以下の主要な特徴が挙げられます。
- C++からC言語への完全な書き換え:依存関係が少なくなり、より優れた生のパフォーマンスと大幅に小さいフットプリントを実現。
- マルチスレッドCPUサポート:データ窃取ワーカーのスレッドが同時に生成され、収集を並列化し、滞留時間を短縮。
- 広範なアンチ分析チェック:デバッガ検出、タイミングチェック、稼働時間、ハードウェアプロファイリングを含む。
- ビルダーによるポリモーフィズムオプション:制御フローの平坦化と数値状態機械スイッチ構造により、静的検出を困難に。
ChromeのApp-Bound暗号化の回避
Vidar 2.0は、メモリインジェクション技術を用いてChromeのApp-Bound暗号化保護を回避します。Trend Microは、「このマルウェアは、デバッグを有効にしてブラウザを起動し、シェルコードまたはリフレクティブDLLインジェクションを使用して、実行中のブラウザプロセスに悪意のあるコードを直接注入する高度な技術も採用している」と説明しています。
注入されたペイロードは、ブラウザメモリから直接暗号化キーを抽出し、ディスクアーティファクトを避けるために名前付きパイプを介して盗まれたキーをメインマルウェアプロセスに伝達します。このアプローチは、ストレージからキーを復号化しようとするのではなく、アクティブなメモリからキーを盗むことで、ChromeのApp-Bound暗号化保護をバイパスすることができます。
窃取対象データと情報送信経路
Vidar 2.0は、広範囲のデータを標的としています。これには以下が含まれます。
- ブラウザのクッキーと自動入力データ
- 仮想通貨ウォレットの拡張機能とデスクトップアプリ
- クラウド認証情報
- Steamアカウント
- TelegramおよびDiscordのデータ
感染したマシンからアクセス可能なすべてのデータを収集した後、Vidar 2.0はスクリーンショットをキャプチャし、すべてをパッケージ化して、TelegramボットやSteamプロファイルに保存されたURLなどの配信ポイントに送信します。
今後の見通し
Trend Microの研究者たちは、Vidar 2.0が2025年第4四半期を通じてキャンペーンでより普及すると予測しています。その「マルウェアの技術的能力、2018年以来の実証済みの開発者実績、および競争力のある価格設定は、Lumma Stealerの支配的な市場地位の後継者となる可能性が高い」と見ています。