Vidar Stealer 2.0：全新架构与 Chrome 安全绕过的信息窃取威胁

一款名为 Vidar Stealer 的复杂信息窃取恶意软件已完成彻底架构重构，推出 2.0 版本。该版本新增高级功能，能够通过直接内存注入技术绕过 Chrome 最新的安全防护机制。

🚨 发布与背景

• 发布日期：2025 年 10 月 6 日
• 发布渠道：暗网论坛
• 发布者：开发者 “Loadbaks”
• 重写语言：从 C++ 完全重写为纯 C 语言
• 架构升级：采用多线程架构，显著提升数据外渗速度与规避检测能力

Vidar 2.0 的出现恰逢另一知名恶意软件 Lumma Stealer 活动显著减少，使其有望成为信息窃取恶意软件生态中的潜在继任者。

💰 定价与功能范围

• 终身访问权限：300 美元
• 目标对象：浏览器、加密货币钱包、云服务、游戏平台，以及 Discord 和 Telegram 等通信应用
• 功能特点：系统性地窃取各类凭证，为网络犯罪分子提供经济高效且功能强大的工具集

恶意软件增强的反分析措施和复杂的凭证提取方法，标志着信息窃取威胁领域的一次令人担忧的演进。

📜 历史沿革

Vidar 最早于 2018 年 出现在俄语暗网论坛，最初基于 Arkei Stealer 源代码开发。多年来，它通过持续更新支持新浏览器、钱包和双因素认证应用，在 Raccoon 和 RedLine 等竞争对手中脱颖而出。

🔧 四大架构变革

根据趋势科技（Trend Micro）分析师的研究，Vidar 2.0 引入了四项重大架构变革：

多线程架构详解

Vidar 2.0 最显著的增强之一是其多线程架构，允许恶意软件通过多个并行线程执行数据收集任务。该系统能够：

• 在高性能设备上创建更多工作线程
• 在低配置设备上减少线程数量
• 自动调整性能，确保在不压垮目标系统的前提下实现最优操作

并行处理大幅缩短了恶意软件在受感染系统上的活动时间，使安全软件的检测和干预难度显著增加。

🛡️ 内存注入绕过 Chrome AppBound 加密

Vidar 2.0 最引人注目的技术突破在于其通过复杂内存注入技术绕过 Chrome AppBound 加密保护的能力。

开发者称，该恶意软件“实现了未公开的独特 appBound 方法”，专门针对 Chrome 旨在防止未授权凭证提取的增强安全措施——这些措施通过将加密密钥绑定到特定应用实现防护。

这对 Chrome 最新的用户凭证防盗增强功能构成了直接挑战。

🧩 双重提取策略

恶意软件采用分层策略提取浏览器凭证：

1. 传统方法

• 系统枚举浏览器配置文件
• 使用标准 DPAPI 解密从 Local State 文件提取加密密钥

2. 高级内存注入

• 当传统技术无法突破 Chrome AppBound 加密时，Vidar 2.0 会启动启用调试模式的目标浏览器
• 通过 shellcode 或反射式 DLL 注入将恶意代码直接注入运行中的浏览器进程
• 注入的载荷完全在浏览器内存中运行，直接从活动进程地址空间提取加密密钥，而非尝试从存储中解密

这种基于内存的方法有效绕过 Chrome AppBound 加密，因为它窃取的是已解密且正被合法浏览器进程使用的密钥。

被盗加密密钥随后通过命名管道（named pipes） 传输回恶意软件主进程——这种技术可避免创建可能被取证分析或安全软件检测到的磁盘痕迹。

🌐 广泛的浏览器覆盖

这种针对传统浏览器存储方法和 Chrome 最新防护的双重提取策略，覆盖了：

• Chrome
• Firefox
• Edge
• 其他 Chromium 系浏览器

展示了该恶意软件全面的凭证窃取能力，对用户隐私和数字安全构成严重威胁。