はじめに:Vidar Stealer 2.0の脅威が拡大
セキュリティ研究者たちは、マルウェア開発者がアップグレードされた機能を備えた新しいメジャーバージョンをリリースしたことを受け、Vidar Stealerの感染が急増する可能性があると警告しています。開発者による今月の発表によると、Vidar 2.0はC言語で書き直され、マルチスレッドによるデータ窃取をサポートし、ChromeのApp-Bound暗号化をバイパスし、より高度な回避メカニズムを備えています。
インフォスティーラーマルウェアは、パスワード、クレジットカード情報、仮想通貨ウォレット情報など、ブラウザやその他のアプリケーションからデータを窃取することに特化しています。
Vidar 2.0の主な新機能と強化点
Trend Microの研究者による報告によると、Vidar 2.0のリリース以来、その活動が急増しており、以下の点が注目されています。
- C言語への完全な書き換え:C++からC言語に書き直されたことで、依存関係が少なくなり、より優れた生のパフォーマンスと大幅に小さいフットプリントを実現しています。
- マルチスレッドCPUサポート:データ窃取ワーカーのスレッドが同時に生成され、収集を並列化し、滞留時間を短縮します。
- 広範な分析回避チェック:デバッガ検出、タイミングチェック、稼働時間、ハードウェアプロファイリングなど、広範なアンチ分析チェックが含まれています。
- ポリモーフィズムオプション:ビルダーは、制御フローの平坦化や数値ステートマシン切り替え構造などのポリモーフィズムオプションを提供し、静的検出をより困難にしています。
ChromeのApp-Bound暗号化を突破する手口
Vidar 2.0は、メモリインジェクション技術を用いてChromeのApp-Bound暗号化保護を回避します。この高度な手法は、デバッグが有効な状態でブラウザを起動し、シェルコードまたはリフレクティブDLLインジェクションを使用して、悪意のあるコードを実行中のブラウザプロセスに直接注入します。
注入されたペイロードは、暗号化キーをブラウザメモリから直接抽出し、ディスクアーティファクトを回避するために、盗んだキーを名前付きパイプ経由でメインマルウェアプロセスに送信します。このアプローチにより、ストレージからキーを復号化しようとするのではなく、アクティブメモリからキーを盗むことで、ChromeのAppBound暗号化保護をバイパスすることができます。
窃取対象となる広範なデータ
Vidar 2.0は、広範なデータを標的としています。これには以下が含まれます。
- ブラウザのクッキーと自動入力情報
- 仮想通貨ウォレットの拡張機能およびデスクトップアプリケーション
- クラウド認証情報
- Steamアカウント
- TelegramおよびDiscordデータ
Vidar 2.0が感染したマシンからアクセスできるすべてのデータを収集した後、スクリーンショットをキャプチャし、すべてをパッケージ化して、TelegramボットやSteamプロファイルに保存されたURLなどの配信ポイントに送信します。
市場での影響と今後の見通し
Vidar 2.0のリリースは、この分野のもう一つの主要なプレーヤーであるLumma Stealerの活動が、主要なオペレーターに対するドクシングキャンペーン後に急速に低下している時期と重なります。Trend Microの研究者たちは、Vidar 2.0の技術的能力、2018年以来の実績ある開発者の経歴、そして競争力のある価格設定が、Lumma Stealerの支配的な市場地位の後継者となる可能性が高いと見ており、2025年第4四半期を通じてVidar 2.0がキャンペーンでより普及すると予想しています。