Vidar Stealer v2.0の登場
2025年10月6日、サイバー犯罪開発者「Loadbaks」は、アンダーグラウンドフォーラムでVidar Stealer v2.0のリリースを発表しました。この新バージョンは、現代のブラウザセキュリティ保護を回避するために直接メモリインジェクションを利用する、高度な情報窃取マルウェアです。
Vidar 2.0は、C++から純粋なC言語への完全なアーキテクチャ変更により、パフォーマンスとステルス機能が向上したとされています。このリリースは、Lumma Stealerの活動が低下する中で行われ、サイバー犯罪者がより効果的な代替手段を積極的に求めていることを示唆しています。
Vidar 2.0には、高度なアンチ分析対策、マルチスレッドデータ窃取機能、そしてChromeの最新のAppBound暗号化保護を打ち破るための洗練されたブラウザ認証情報抽出方法など、いくつかの懸念される機能が導入されています。わずか300ドルの生涯価格で、このマルウェアは攻撃者に費用対効果が高く、技術的に高度な認証情報窃取ツールを提供し、組織や個人ユーザーにとって重大な脅威となっています。
Vidarは2018年にロシア語のアンダーグラウンドフォーラムで初めて登場し、当初はArkei Stealerのソースコードを利用していました。7年以上にわたり、RaccoonやRedLineといった競合他社とは一線を画し、一貫したアップデート、信頼できる開発者サポート、そしてブラウザ認証情報、仮想通貨ウォレット、二要素認証アプリケーションを標的とした包括的なデータ窃取機能を提供してきました。2025年10月のバージョン2.0のリリースは、マルウェアの歴史上最も重要な技術的進化であり、以前の制限に対処しつつ、現代のセキュリティ保護を回避するために特別に設計された機能を導入しています。
高度なメモリインジェクション技術
Vidar 2.0における最も注目すべき進歩は、ChromeのAppBound暗号化を回避するための洗練されたアプローチです。AppBoundは、暗号化キーを特定のアプリケーションにバインドすることで、不正な認証情報抽出を防ぐように設計されたセキュリティ機能です。開発者によると、Vidar 2.0は「公開されていない独自のAppBoundメソッド」を実装しており、情報窃取マルウェアの能力を大幅にエスカレートさせています。
バイナリ分析によると、このマルウェアは多段階の認証情報抽出プロセスを採用しています。まず、Vidarは従来のメソッドを試みます。これには、ブラウザプロファイルの体系的な列挙や、標準的なDPAPI復号化を使用してLocal Stateファイルから暗号化キーを抽出することが含まれます。しかし、これらの従来のアプローチが現代のブラウザ保護に対して失敗した場合、マルウェアは認証情報の窃取方法を根本的に変える高度な技術にエスカレートします。
この高度な技術は、デバッグを有効にしてターゲットブラウザを起動し、シェルコードまたはリフレクティブDLLインジェクションを使用して、実行中のブラウザプロセスに悪意のあるコードを直接注入します。注入されたペイロードは、ストレージから復号化を試みるのではなく、ブラウザメモリから直接暗号化キーを抽出し、ChromeのAppBound暗号化保護を効果的に回避します。窃取されたキーは、ディスク上の痕跡を残さず、セキュリティソフトウェアに警告を発したり、フォレンジック証拠を残したりすることなく、名前付きパイプを介してメインのマルウェアプロセスに通信されます。
パフォーマンスと回避策の強化
ブラウザ認証情報の窃取能力に加えて、Vidar 2.0は検出を回避しながら効率を最大化するように設計された、重要なアーキテクチャの改善を導入しています。このマルウェアは、被害者のコンピュータの仕様に基づいてパフォーマンスを自動的に調整する洗練されたマルチスレッドシステムを実装しており、強力なシステムではより多くのワーカー スレッドを、弱いマシンではより少ないスレッドを作成します。スレッド数はCPUコア数と利用可能な物理メモリに基づいて動的に計算されます。
このアプローチにより、ブラウザ、仮想通貨ウォレット、ファイルなど、複数のソースから同時にデータを窃取することが可能になり、マルウェアが侵害されたシステムでアクティブである必要がある時間を大幅に短縮します。
また、このマルウェアは、重い制御フロー平坦化難読化を採用しており、元のプログラムロジックを曖昧にし、リバースエンジニアリングを著しく困難にする数値ステートマシンを備えた複雑なswitch-case構造を実装しています。自動ポリモーフィックビルダーは、異なるバイナリシグネチャを持つサンプルを生成し、静的検出方法を無効にします。これらの回避技術は、デバッガ検出、タイミング検証、ハードウェアプロファイリングを含む包括的なアンチ分析チェックと組み合わされ、マルウェアが分析環境ではなく、本物の被害者システムでのみ実行されることを保証します。
今後の展望と対策
Lumma Stealerの活動が引き続き低下し、サイバー犯罪者が代替手段に移行するにつれて、セキュリティチームは2025年第4四半期以降、Vidar 2.0の蔓延が増加すると予想すべきです。このマルウェアの技術的能力、2018年以来の実証済みの開発者実績、および競争力のある価格設定は、Lumma Stealerの市場支配の後継となる可能性が高いと位置付けられています。
組織は、エンドポイントソリューションが完全に活用され、更新されていることを確認するとともに、この進化する脅威から保護するために、認証情報管理とユーザー教育に関する強力なポリシーを維持する必要があります。