Vidar malware tiếp tục là một trong những họ đánh cắp thông tin hoạt động mạnh nhất, nhưng biến thể năm 2026 đã thay đổi đáng kể cách phân phối và ẩn payload. Điểm đáng chú ý của Vidar malware là nó che giấu second-stage payloads bên trong tệp JPEG và TXT, khiến nhiều công cụ phát hiện khó nhận diện chuỗi lây nhiễm.
Vidar malware và thay đổi trong cơ chế lây nhiễm
Vidar bắt đầu xuất hiện từ năm 2018 với vai trò là một credential stealer cơ bản, được xây dựng trên Arkei framework. Đến năm 2026, Vidar malware đã tiến hóa theo mô hình Malware-as-a-Service (MaaS), hỗ trợ multi-stage delivery chains và tận dụng các nền tảng nhắn tin để điều phối C2.
Biến thể mới không chỉ đánh cắp mật khẩu. Nó thực thi toàn bộ infection chain trong bộ nhớ máy nạn nhân, giảm tối đa dấu vết trên hệ thống bị xâm nhập. Cách vận hành này làm tăng rủi ro bảo mật khi Vidar malware có thể vượt qua nhiều lớp giám sát truyền thống.
Chuỗi tấn công và điểm vào ban đầu
Chuỗi lây nhiễm khởi đầu bằng một Go-compiled dropper binary. Việc chọn Go giúp mẫu mã độc ít bị liên hệ trực tiếp với malware truyền thống, từ đó làm giảm hiệu quả của một số cơ chế phát hiện dựa trên đặc trưng.
Sau khi chạy, dropper thả một tệp VBScript có tên ewccbqtllunx.vbs vào thư mục Windows Temp. Script này kiểm tra môi trường sandbox trước khi tiếp tục. Nếu phát hiện sandbox, nó thoát ngay.
Nếu không, VBScript dựng một lệnh PowerShell bị obfuscate và chạy ở chế độ ẩn. Đây là điểm khởi động cho chuỗi Vidar malware tiếp theo.
Payload trong JPEG và TXT
PowerShell kết nối đến địa chỉ IP 62.60.226.200 qua TLS 1.2 và tải về tệp 160066.jpg. Tệp này trông giống ảnh bình thường nhưng chứa payload Base64 ẩn giữa hai marker tùy chỉnh:
BASE64_START
...
BASE64_ENDMalware quét marker, trích xuất chuỗi mã hóa, giải mã hoàn toàn trong bộ nhớ và nạp kết quả như một .NET assembly mà không ghi xuống đĩa. Sau đó, một yêu cầu khác tải tệp KGVn4OY.txt từ cùng máy chủ. Tệp TXT này chứa nội dung Base64 bị đảo ngược và chèn ký tự rác để gây nhiễu.
Quá trình xử lý của Vidar malware trên TXT gồm: đảo chuỗi, thay thế ký tự vô nghĩa, giải mã nội dung và thực thi toàn bộ trong memory. Cách này làm giảm khả năng phát hiện xâm nhập dựa trên IOC tĩnh.
Chuỗi thực thi trong bộ nhớ của Vidar malware
Phiên bản này dựa nhiều vào obfuscated scripts, trusted Windows tools và phân phối theo từng giai đoạn qua định dạng tệp không thực thi. Một số công cụ hệ thống thường bị lạm dụng trong chuỗi này gồm WScript, PowerShell và RegAsm.exe.
Payload cuối cùng là một 64-bit C++ executable được bảo vệ bằng crypter và giải quyết Windows API tại thời điểm chạy. Mục tiêu của lớp bảo vệ này là tránh phân tích tĩnh và trì hoãn phát hiện bởi các hệ thống bảo mật.
Trong nhiều bước, Vidar malware ưu tiên hoạt động in-memory. Điều này làm giảm artefact trên đĩa và khiến việc phản ứng sự cố phức tạp hơn, đặc biệt khi cần truy vết giai đoạn trung gian của infection chain.
Mục tiêu và phạm vi đánh cắp dữ liệu
Chiến dịch này ảnh hưởng đến hơn 200 browser extensions, bao gồm ví tiền điện tử như MetaMask, Phantom và Coinbase Wallet, cùng các trình quản lý mật khẩu như Bitwarden, LastPass và KeePass.
Phạm vi này cho thấy Vidar malware không còn giới hạn ở việc thu thập mật khẩu đơn lẻ, mà mở rộng sang data exposure và rủi ro mất kiểm soát tài khoản. Tác động có thể xảy ra trên cả cá nhân lẫn môi trường doanh nghiệp.
IOC trích xuất từ phân tích
- IP C2 / tải payload: 62.60.226.200
- VBScript: ewccbqtllunx.vbs
- JPEG payload: 160066.jpg
- TXT payload: KGVn4OY.txt
- Marker nhúng Base64: BASE64_START, BASE64_END
Kỹ thuật che giấu và chỉ dấu hành vi
Điểm nổi bật của Vidar malware là sử dụng nhiều lớp ngụy trang: file ảnh, file văn bản, script PowerShell bị obfuscate và tải payload trong bộ nhớ. Cách triển khai này làm giảm hiệu quả của các công cụ chỉ quét theo phần mở rộng hoặc chữ ký đơn giản.
Phân tích cũng cho thấy mẫu này có cơ chế sandbox check. Khi phát hiện môi trường phân tích, script sẽ dừng lại ngay, làm giảm khả năng thu thập mẫu hành vi đầy đủ.
Đối với tình huống giám sát Vidar malware, cần chú ý các chuỗi tiến trình bất thường liên quan đến WScript, PowerShell, tải tệp từ địa chỉ IP trực tiếp và thực thi .NET assembly trong bộ nhớ.
Khuyến nghị kỹ thuật cho phát hiện xâm nhập
Theo phân tích, đội ngũ an ninh nên chặn các kết nối outbound đến endpoint HTTP dùng IP trực tiếp, theo dõi chuỗi spawn của WScript và PowerShell, đồng thời hạn chế RegAsm.exe chỉ chạy từ tiến trình đã được ký và xác thực.
Cần kiểm tra định kỳ nội dung startup folder để phát hiện sửa đổi trái phép. Với Vidar malware, các vị trí này có thể được dùng để duy trì thực thi hoặc kích hoạt lại chuỗi lây nhiễm.
Tham khảo thêm tài liệu phân tích gốc từ Point Wild tại: Point Wild Threat Intelligence.
