Vidar na czele rynku infostealerów po rozbiciu konkurencyjnych operacji - Security Bez Tabu

Vidar na czele rynku infostealerów po rozbiciu konkurencyjnych operacji

Cybersecurity news

Wprowadzenie do problemu / definicja

Vidar to złośliwe oprogramowanie typu infostealer, zaprojektowane do kradzieży danych uwierzytelniających, ciasteczek przeglądarkowych, tokenów sesyjnych, informacji z portfeli kryptowalutowych oraz innych artefaktów, które mogą posłużyć do dalszej kompromitacji ofiary. W ostatnim czasie malware to wyraźnie umocniło swoją pozycję w cyberprzestępczym ekosystemie, korzystając z osłabienia konkurencyjnych operacji.

W skrócie

Vidar, obecny w podziemnym obiegu od 2018 roku, awansował do ścisłej czołówki infostealerów po działaniach wymierzonych w inne znane rodziny malware, takie jak Lumma i Rhadamanthys. Wzrost jego znaczenia wiąże się z rozbudową funkcji, elastyczną dystrybucją oraz wykorzystaniem infrastruktury utrudniającej blokowanie serwerów dowodzenia i kontroli.

  • kradnie hasła, cookies, tokeny i dane portfeli kryptowalutowych,
  • umożliwia dalsze ataki na konta prywatne i środowiska firmowe,
  • korzysta z technik utrudniających detekcję i przejęcie infrastruktury C2,
  • jest dystrybuowany przez phishing, fałszywe instalatory i kampanie socjotechniczne.

Kontekst / historia

Rynek infostealerów należy do najbardziej dynamicznych segmentów cyberprzestępczości. Gdy jedna z dominujących rodzin malware zostaje zakłócona przez działania organów ścigania lub traci zdolność operacyjną, bardzo szybko pojawiają się inni operatorzy gotowi przejąć jej miejsce.

W przypadku Vidara istotnym momentem były wydarzenia z 2025 roku, kiedy zakłócenia wymierzone w Lumma i Rhadamanthys stworzyły przestrzeń dla nowych liderów rynku. Vidar skutecznie wykorzystał tę okazję, zwiększając swoją obecność na forach i marketplace’ach cyberprzestępczych, gdzie skradzione logi i dane dostępowe są szybko monetyzowane.

Analiza techniczna

Vidar koncentruje się na masowym pozyskiwaniu danych z endpointów użytkowników. Jednym z jego głównych celów są przeglądarki internetowe, z których wykrada zapisane hasła, pliki cookies, dane autouzupełniania oraz tokeny sesyjne. Pozwala to napastnikom nie tylko przejmować konta, ale także obchodzić część mechanizmów bezpieczeństwa opartych na aktywnej sesji.

Malware zbiera również informacje z portfeli kryptowalutowych, zwłaszcza z rozszerzeń przeglądarkowych powiązanych z aktywami cyfrowymi. Dodatkowo może pozyskiwać zrzuty ekranu, dane klientów poczty elektronicznej oraz lokalne pliki, dając atakującym pełniejszy obraz środowiska ofiary.

Istotnym elementem jest sposób dostarczania malware. Vidar pojawiał się w kampaniach wykorzystujących złośliwe załączniki, fałszywe instalatory, instrukcje socjotechniczne kierujące użytkowników do pobrania niebezpiecznych plików, trojanizowane pakiety oraz fałszywe narzędzia dla graczy. Takie podejście zwiększa skuteczność infekcji i utrudnia jednoznaczne przypisanie kampanii do pojedynczego wektora ataku.

Na uwagę zasługuje także wykorzystywanie mechanizmu dead drop resolver. W praktyce oznacza to, że adres serwera C2 nie musi być na stałe zapisany w próbce malware. Zamiast tego szkodliwy kod może pobierać aktualne informacje o infrastrukturze z pozornie legalnych zasobów publicznych, co utrudnia analizę statyczną, blokowanie wskaźników kompromitacji i szybkie wyłączenie zaplecza operatorskiego.

Konsekwencje / ryzyko

Rosnąca pozycja Vidara zwiększa zagrożenie zarówno dla użytkowników indywidualnych, jak i organizacji. W przypadku osób prywatnych skutkiem może być utrata dostępu do kont, środków finansowych i usług cyfrowych. Dla firm konsekwencje są zwykle poważniejsze, ponieważ przejęte poświadczenia pracowników mogą stać się punktem wejścia do systemów korporacyjnych.

Skradzione logi są następnie sprzedawane lub wymieniane w podziemnym obiegu. To sprawia, że pojedyncza infekcja stacji roboczej może doprowadzić do przejęcia poczty firmowej, usług SaaS, dostępu VPN, paneli administracyjnych czy zasobów chmurowych. Jeśli napastnik uzyska ważne tokeny sesyjne lub cookies, może dodatkowo ominąć część kontroli związanych z klasycznym uwierzytelnianiem.

Warto podkreślić, że infostealer rzadko jest celem samym w sobie. Częściej stanowi etap przygotowawczy przed kolejnymi działaniami, takimi jak ransomware, oszustwa BEC, kradzież danych, ruch boczny czy eskalacja uprawnień. W praktyce oznacza to wzrost podaży dostępu początkowego dla innych grup przestępczych.

Rekomendacje

Organizacje powinny zakładać, że kradzież poświadczeń z endpointów jest realnym i częstym scenariuszem. Odpowiedź obronna musi więc obejmować kilka warstw zabezpieczeń.

  • ograniczenie przechowywania haseł w przeglądarkach i szerokie wdrożenie MFA,
  • stosowanie filtrowania DNS, bezpiecznych bram webowych i kontroli pobieranych plików,
  • analiza załączników, archiwów i instalatorów w środowiskach sandbox,
  • monitorowanie prób dostępu do danych przeglądarek, cookies, klientów poczty i portfeli kryptowalutowych,
  • skracanie czasu życia sesji, wymuszanie ponownego uwierzytelniania i szybkie unieważnianie aktywnych tokenów po incydencie,
  • regularna edukacja użytkowników w zakresie phishingu i socjotechniki.

Podsumowanie

Wzrost znaczenia Vidara pokazuje, że cyberprzestępczy ekosystem bardzo szybko adaptuje się do działań zakłócających wymierzonych w pojedyncze grupy lub rodziny malware. Gdy z rynku znikają dominujący gracze, ich miejsce niemal natychmiast zajmują inni operatorzy oferujący podobne możliwości.

Z perspektywy bezpieczeństwa przedsiębiorstw Vidar stanowi zagrożenie o wysokiej wartości operacyjnej dla napastników, ponieważ umożliwia szybkie przejęcie danych niezbędnych do dalszej kompromitacji. Skuteczna obrona wymaga połączenia ochrony endpointów, kontroli ruchu sieciowego, monitoringu tożsamości i konsekwentnej redukcji ryzyka związanego z socjotechniką.

Źródła

  1. Dark Reading — Vidar Rises to Top of Chaotic Infostealer Market — https://www.darkreading.com/vulnerabilities-threats/vidar-top-chaotic-infostealer-market
  2. MITRE ATT&CK — Vidar — https://attack.mitre.org/software/S0682/
  3. CISA — Security Tip: Avoiding Social Engineering and Phishing Attacks — https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
  4. Malwarebytes — ClickFix: Social Engineering Meets Malware Delivery — https://www.malwarebytes.com/blog/news/2025/10/clickfix-social-engineering-meets-malware-delivery
  5. Acronis Threat Research — Fake Game Cheats Deliver Malware — https://www.acronis.com/en-us/tru/posts/fake-game-cheats-malware/