Vidar là một mối đe dọa mạng thuộc nhóm credential-stealing malware đang nổi lên mạnh trong đầu năm 2026, nhắm vào nhân viên doanh nghiệp thông qua các liên kết tải phần mềm giả mạo được quảng bá bằng video YouTube. Chiến dịch này dẫn tới việc đánh cắp thông tin đăng nhập, dữ liệu trình duyệt và thông tin ví tiền mã hóa.
Chuỗi tấn công của Vidar
Chiến dịch tin tức bảo mật này bắt đầu bằng một video YouTube quảng cáo công cụ giả mạo có tên NeoHub. Nạn nhân truy cập liên kết, bị chuyển hướng qua một dịch vụ chia sẻ tệp và tải về một gói nén độc hại từ Mediafire.
Quy trình này được thiết kế giống như một cài đặt phần mềm hợp lệ. Tệp hiển thị rõ nhất là NeoHub.exe, nhưng thực tế nó tải thêm msedge_elf.dll, file chứa payload Vidar thật sự.
Kỹ thuật ngụy trang và thực thi
Tệp msedge_elf.dll được tạo để mô phỏng một thành phần hợp lệ của Microsoft Edge, giúp vượt qua kiểm tra nhanh. Tệp này còn được ký bằng chứng chỉ code-signing giả mạo, với các biến thể từng mạo danh githab.com và sau đó là grow.com.
Cả hai chứng chỉ đều liên quan tới nhiều tệp độc hại khác, cho thấy khả năng cùng một tác nhân hoặc một dịch vụ bên thứ ba tạo chữ ký giả.
DLL độc hại được đóng gói bằng GO-based packer, sử dụng tên section bất thường và kỹ thuật control flow flattening. Cách làm này phá vỡ cấu trúc tự nhiên của mã, khiến công cụ phân tích và phòng thủ khó quan sát hành vi thực thi.
Khả năng thu thập dữ liệu của Vidar
Vidar nhắm vào các trình duyệt phổ biến gồm Chrome, Firefox, Edge, Opera, Vivaldi, Waterfox và Palemoon. Phần mềm độc hại này thu thập:
- Mật khẩu đã lưu
- Cookie phiên đăng nhập
- Dữ liệu thẻ tín dụng
- Tệp ví tiền mã hóa
Thông tin đánh cắp sau đó bị bán trên Russian Market, làm tăng rủi ro an toàn thông tin cho hệ thống doanh nghiệp và các tài khoản nội bộ.
Vidar và sự mở rộng của chiến dịch
Theo phân tích, Vidar đã trở thành một lựa chọn thay thế đáng tin cậy sau khi hạ tầng của hai infostealer phổ biến khác bị triệt phá trong năm 2025. Đến tháng 10/2025, phiên bản Vidar 2.0 được phát hành với khả năng mạnh hơn và kỹ thuật né tránh tốt hơn.
Từ đó đến nay, Vidar liên tục được ghi nhận là stealer đứng đầu trên Russian Market dựa trên khối lượng log bị đánh cắp được tải lên hằng tháng. Điều này cho thấy mức độ lan rộng và sức hấp dẫn của mối đe dọa mạng này đối với nhiều nhóm tác nhân khác nhau.
IOC liên quan đến Vidar
Dữ liệu IOC được nhắc đến trong nội dung gốc gồm các chỉ dấu sau:
- Tên tệp: NeoHub.exe
- Tên tệp: msedge_elf.dll
- Tên công cụ giả mạo: NeoHub
- Tên chứng chỉ giả mạo: githab.com
- Tên chứng chỉ giả mạo: grow.com
- Hạ tầng phát tán: Mediafire
- Kênh ẩn C2: public Steam profiles
- Kênh ẩn C2: Telegram channels
Dead Drop Resolver và cơ chế điều khiển
Sau khi chạy trên máy nạn nhân, Vidar sử dụng Dead Drop Resolver để xác định máy chủ command-and-control. Thay vì nhúng trực tiếp địa chỉ C2, mã độc ẩn vị trí máy chủ thật trong các hồ sơ Steam công khai và kênh Telegram.
Cách làm này giúp kẻ tấn công thay đổi hạ tầng nhanh mà không cần cập nhật lại malware. Đây là đặc điểm quan trọng trong các chiến dịch tin bảo mật mới nhất liên quan đến stealer và cảnh báo CVE không áp dụng ở đây, vì nội dung không đề cập tới CVE cụ thể.
Khuyến nghị phát hiện và giảm thiểu
Các tổ chức nên huấn luyện người dùng tránh tải phần mềm từ liên kết trong video YouTube hoặc các website chia sẻ tệp không rõ nguồn gốc. MFA cần được bật cho mọi tài khoản liên kết với trình duyệt để giảm nguy cơ bị đánh cắp thông tin đăng nhập.
Đội ngũ an ninh mạng nên chặn các miền và địa chỉ IP độc hại dựa trên IOC đã công bố, đồng thời giám sát lưu lượng ra ngoài để phát hiện kết nối bất thường tới máy chủ C2 chưa biết.
Secure Web Gateway và DNS filtering có thể ngăn chuyển hướng độc hại trước khi người dùng truy cập. Việc sandbox tệp tải về trước khi thực thi cũng là một lớp phòng vệ quan trọng.
Tham khảo thêm tài liệu về phát hiện và phân tích chỉ dấu trên NVD của NIST để đối chiếu kỹ thuật theo chuẩn dữ liệu lỗ hổng và threat intelligence.
