Vào ngày 6 tháng 10 năm 2025, nhà phát triển tội phạm mạng “Loadbaks” đã công bố phiên bản Vidar Stealer v2.0 trên các diễn đàn ngầm. Đây là một mã độc đánh cắp thông tin tinh vi, sử dụng kỹ thuật tiêm trực tiếp vào bộ nhớ để qua mặt các cơ chế bảo mật trình duyệt hiện đại.
Phiên bản mới này đại diện cho một cuộc đại tu kiến trúc hoàn toàn, chuyển từ ngôn ngữ lập trình C++ sang C thuần túy. Sự thay đổi này được cho là giúp nâng cao hiệu suất và khả năng tàng hình của mã độc.
Giới Thiệu Vidar Stealer v2.0 và Bối Cảnh Mối Đe Dọa
Sự ra đời của Vidar Stealer v2.0 diễn ra trong bối cảnh hoạt động của Lumma Stealer đang suy giảm. Điều này cho thấy các tội phạm mạng đang tích cực tìm kiếm những lựa chọn thay thế hiệu quả hơn trong môi trường đe dọa đang phát triển.
Với mức giá trọn đời chỉ 300 USD, mã độc này cung cấp cho kẻ tấn công các công cụ đánh cắp thông tin đăng nhập mạnh mẽ, vừa tiết kiệm chi phí vừa có kỹ thuật tiên tiến. Điều này đặt ra một mối đe dọa đáng kể đối với cả tổ chức và người dùng cá nhân.
Lịch Sử Phát Triển Của Vidar Stealer
Vidar Stealer lần đầu tiên xuất hiện vào năm 2018 trên các diễn đàn ngầm tiếng Nga, ban đầu dựa trên mã nguồn của Arkei stealer. Trong hơn bảy năm, nó đã tạo sự khác biệt so với các đối thủ cạnh tranh như Raccoon và RedLine thông qua các bản cập nhật liên tục, hỗ trợ phát triển đáng tin cậy và khả năng đánh cắp dữ liệu toàn diện.
Các mục tiêu chính bao gồm thông tin đăng nhập trình duyệt, ví tiền điện tử và ứng dụng xác thực hai yếu tố. Phiên bản 2.0 ra mắt vào tháng 10 năm 2025 đánh dấu bước tiến kỹ thuật quan trọng nhất trong lịch sử của mã độc này, giải quyết các hạn chế trước đây và giới thiệu các khả năng được thiết kế đặc biệt để vượt qua các biện pháp bảo mật hiện đại.
Cải Tiến Kỹ Thuật Đột Phá của Vidar Stealer v2.0
Điểm đáng chú ý nhất trong Vidar Stealer v2.0 là cách tiếp cận tinh vi của nó để vượt qua mã hóa AppBound của Chrome. Đây là một tính năng bảo mật được thiết kế để ngăn chặn việc trích xuất thông tin đăng nhập trái phép bằng cách liên kết các khóa mã hóa với các ứng dụng cụ thể.
Theo nhà phát triển, Vidar Stealer v2.0 triển khai “các phương pháp AppBound độc đáo không được tìm thấy trong phạm vi công cộng.” Điều này thể hiện một sự leo thang đáng kể trong khả năng của các công cụ đánh cắp thông tin.
Vượt Qua Mã Hóa AppBound Của Chrome
Phân tích mã nhị phân cho thấy mã độc sử dụng quy trình trích xuất thông tin đăng nhập nhiều giai đoạn. Ban đầu, Vidar thử các phương pháp truyền thống bao gồm liệt kê có hệ thống các hồ sơ trình duyệt và trích xuất khóa mã hóa từ các tệp Local State bằng cách sử dụng giải mã DPAPI tiêu chuẩn.
Tuy nhiên, khi các cách tiếp cận thông thường này không thành công trước các biện pháp bảo vệ trình duyệt hiện đại, mã độc sẽ leo thang sang các kỹ thuật nâng cao. Những kỹ thuật này thay đổi cơ bản cách thức đánh cắp thông tin đăng nhập diễn ra.
Kỹ thuật nâng cao này khởi chạy các trình duyệt mục tiêu với chế độ gỡ lỗi được kích hoạt. Sau đó, nó tiêm mã độc hại trực tiếp vào các tiến trình trình duyệt đang chạy bằng cách sử dụng shellcode hoặc kỹ thuật reflective DLL injection.
Tải trọng được tiêm này trích xuất khóa mã hóa trực tiếp từ bộ nhớ của trình duyệt, thay vì cố gắng giải mã chúng từ bộ lưu trữ. Phương pháp này giúp Vidar Stealer vượt qua hiệu quả các biện pháp bảo vệ mã hóa AppBound của Chrome.
Các khóa bị đánh cắp sau đó được truyền ngược lại tiến trình mã độc chính thông qua các named pipes. Điều này giúp tránh tạo ra các hiện vật trên đĩa có thể cảnh báo phần mềm bảo mật hoặc để lại bằng chứng pháp y. Để biết thêm chi tiết kỹ thuật về cách Vidar 2.0 nâng cấp khả năng đánh cắp thông tin, bạn có thể tham khảo bài viết từ Trend Micro: How Vidar Stealer 2.0 Upgrades Infostealer Capabilities.
Kiến Trúc Đa Luồng Nâng Cao
Ngoài khả năng đánh cắp thông tin đăng nhập trình duyệt, Vidar Stealer v2.0 còn giới thiệu những cải tiến kiến trúc đáng kể. Những cải tiến này được thiết kế để tối đa hóa hiệu quả đồng thời né tránh phát hiện.
Mã độc triển khai một hệ thống đa luồng tinh vi. Hệ thống này tự động điều chỉnh hiệu suất dựa trên thông số kỹ thuật của máy tính nạn nhân, tạo ra nhiều luồng công việc hơn trên các hệ thống mạnh mẽ và ít luồng hơn trên các máy yếu hơn.
Cách tiếp cận này cho phép đánh cắp dữ liệu đồng thời từ nhiều nguồn, bao gồm trình duyệt, ví tiền điện tử và tệp. Điều này giúp giảm đáng kể thời gian mã độc cần hoạt động trên các hệ thống bị xâm nhập.
Kỹ Thuật Né Tránh Phát Hiện Tinh Vi
Vidar Stealer v2.0 cũng sử dụng kỹ thuật che giấu dòng điều khiển (control flow flattening obfuscation) một cách mạnh mẽ. Mã độc này triển khai các cấu trúc switch-case phức tạp với các máy trạng thái số. Điều này làm che khuất logic chương trình ban đầu và khiến việc đảo ngược kỹ thuật trở nên khó khăn hơn đáng kể.
Một công cụ tạo mẫu đa hình tự động (automatic polymorphic builder) tạo ra các mẫu với chữ ký nhị phân khác biệt. Điều này làm cho các phương pháp phát hiện tĩnh trở nên không hiệu quả.
Những kỹ thuật né tránh này, kết hợp với các kiểm tra chống phân tích toàn diện (bao gồm phát hiện trình gỡ lỗi, xác minh thời gian và lập hồ sơ phần cứng), đảm bảo mã độc chỉ thực thi trên các hệ thống nạn nhân thực sự chứ không phải trong môi trường phân tích.
Ý Nghĩa Đối Với Bối Cảnh Mối Đe Dọa Hiện Tại
Khi hoạt động của Lumma Stealer tiếp tục suy giảm và tội phạm mạng di cư sang các lựa chọn thay thế, các đội bảo mật nên dự đoán sự gia tăng của Vidar Stealer v2.0 trong quý 4 năm 2025 và xa hơn nữa.
Khả năng kỹ thuật của mã độc, hồ sơ theo dõi đã được chứng minh của nhà phát triển kể từ năm 2018 và giá cả cạnh tranh. Những yếu tố này định vị Vidar Stealer v2.0 là một ứng cử viên sáng giá kế nhiệm sự thống trị thị trường của Lumma Stealer.
Các tổ chức phải đảm bảo các giải pháp điểm cuối được sử dụng và cập nhật đầy đủ. Đồng thời, cần duy trì các chính sách mạnh mẽ về quản lý thông tin đăng nhập và giáo dục người dùng để bảo vệ chống lại mối đe dọa mạng đang phát triển này. Tăng cường an ninh mạng là yếu tố then chốt để phòng chống các cuộc tấn công tương tự.
