サイバーニュース.jp

世界のサイバーなニュースを配信

Vidar Stealer v2.0: ブラウザ認証情報を狙う直接メモリ攻撃の脅威

カテゴリ:

, , , , , , , , ,

はじめに

2025年10月6日、サイバー犯罪開発者「Loadbaks」は、アンダーグラウンドフォーラムでVidar Stealer v2.0のリリースを発表しました。これは、現代のブラウザセキュリティ保護を回避するために直接メモリインジェクションを利用する、高度な情報窃取マルウェアです。この新バージョンは、アーキテクチャを完全に刷新し、C++から純粋なC言語実装へと移行することで、パフォーマンスとステルス機能が向上したとされています。

Lumma Stealerの活動が低下する中でのリリースであり、サイバー犯罪者が進化する脅威の状況において、より効果的な代替手段を積極的に模索していることを示唆しています。

Vidar Stealer v2.0の登場

Vidar 2.0は、以下のような懸念される新機能を導入しています。

  • 高度な分析対策
  • マルチスレッドによるデータ窃取機能
  • Chromeの最新のAppBound暗号化保護を打ち破る洗練されたブラウザ認証情報抽出方法

生涯価格わずか300ドルという費用対効果の高さと技術的な先進性により、このマルウェアは組織および個人ユーザーにとって重大な脅威となっています。

Vidarは2018年にロシア語のアンダーグラウンドフォーラムで初めて登場し、当初はArkei Stealerのソースコードを利用していました。7年以上にわたり、一貫したアップデート、信頼できる開発者サポート、そしてブラウザ認証情報、仮想通貨ウォレット、二要素認証アプリケーションを標的とする包括的なデータ窃取機能により、RaccoonやRedLineといった競合他社との差別化を図ってきました。2025年10月のバージョン2.0のリリースは、マルウェアの歴史上、最も重要な技術的進化を意味し、以前の制限に対処しつつ、現代のセキュリティ保護を回避するために特別に設計された機能を導入しています。

高度なメモリインジェクション技術

Vidar 2.0における最も注目すべき進歩は、ChromeのAppBound暗号化を回避するための洗練されたアプローチです。AppBound暗号化は、暗号化キーを特定のアプリケーションにバインドすることで、不正な認証情報抽出を防ぐように設計されたセキュリティ機能です。開発者によると、Vidar 2.0は「公開されていない独自のAppBoundメソッド」を実装しており、これは情報窃取マルウェアの能力における重大なエスカレーションを意味します。

バイナリ分析により、マルウェアが多段階の認証情報抽出プロセスを採用していることが明らかになっています。

  1. まず、Vidarはブラウザプロファイルの体系的な列挙や、標準的なDPAPI復号化を使用したLocal Stateファイルからの暗号化キー抽出など、従来のメソッドを試行します。
  2. しかし、これらの従来のアプローチが現代のブラウザ保護に対して失敗した場合、マルウェアは認証情報の窃取方法を根本的に変える高度な技術へとエスカレートします。

この高度な技術では、デバッグを有効にしてターゲットブラウザを起動し、シェルコードまたはリフレクティブDLLインジェクションを使用して、悪意のあるコードを実行中のブラウザプロセスに直接注入します。注入されたペイロードは、ストレージから復号化を試みるのではなく、ブラウザメモリから直接暗号化キーを抽出することで、ChromeのAppBound暗号化保護を効果的に回避します。盗まれたキーは、セキュリティソフトウェアに警告を発したり、フォレンジック証拠を残したりする可能性のあるディスク上の痕跡を避けるため、名前付きパイプを介してメインのマルウェアプロセスに送り返されます。

パフォーマンスと回避策の強化

ブラウザ認証情報の窃取機能に加えて、Vidar 2.0は検出を回避しながら効率を最大化するように設計された、重要なアーキテクチャの改善を導入しています。このマルウェアは、被害者のコンピューターの仕様に基づいてパフォーマンスを自動的に調整する洗練されたマルチスレッドシステムを実装しており、強力なシステムではより多くのワーカースレッドを、弱いマシンではより少ないスレッドを作成します。スレッド数はCPUコア数と利用可能な物理メモリに基づいて動的に計算されます。

このアプローチにより、ブラウザ、仮想通貨ウォレット、ファイルなど、複数のソースから同時にデータを窃取することが可能になり、マルウェアが侵害されたシステム上でアクティブである必要がある時間を大幅に短縮します。

また、マルウェアは重い制御フロー平坦化難読化を採用しており、元のプログラムロジックを不明瞭にし、リバースエンジニアリングを著しく困難にする複雑なスイッチケース構造と数値ステートマシンを実装しています。自動多形ビルダーは、異なるバイナリシグネチャを持つサンプルを生成し、静的検出方法を無効にします。これらの回避技術は、デバッガー検出、タイミング検証、ハードウェアプロファイリングを含む包括的な分析対策チェックと組み合わされ、マルウェアが分析環境ではなく、実際の被害者システムでのみ実行されることを保証します。

今後の展望と対策

Lumma Stealerの活動が引き続き低下し、サイバー犯罪者が代替手段に移行するにつれて、セキュリティチームは2025年第4四半期以降、Vidar 2.0の蔓延が増加すると予想すべきです。マルウェアの技術的能力、2018年以来の実績ある開発者実績、および競争力のある価格設定は、Lumma Stealerの市場支配の後継となる可能性が高いことを示しています。

組織は、エンドポイントソリューションが完全に活用され、更新されていることを確認するとともに、この進化する脅威から保護するために、強力な認証情報管理ポリシーとユーザー教育を維持する必要があります。

元記事: https://gbhackers.com/vidar-stealer-exploits/

投稿をさらに読み込む