# Vidar Stealer > Tipo: **infostealer MaaS** · Sem ID MITRE oficial · [BlackPoint Cyber Profile](https://blackpointcyber.com/wp-content/uploads/2024/08/Vidar-Stealer-Malware-Threat-Profile_Adversary-Pursuit-Group-Blackpoint-Cyber_2024Q3.pdf) ## Visão Geral [[vidar-stealer|Vidar Stealer]] e uma familia de infostealer MaaS ativa desde novembro de 2018, originada como fork do Arkei Stealer. Foi o **segundo infostealer mais utilizado na dark web em 2022** (por volume de logs vendidos) e em finais de 2024 respondia por **17% dos incidentes de infostealer** - segundo apenas ao LummaC2. Em H2 2024, foi responsavel pelo roubo de mais de **65 milhões de senhas** em apenas seis meses. Em outubro de 2025, foi lancado o **Vidar 2.0** - uma reescrita completa em C (arquitetura multithreaded), com controle de fluxo ofuscado em todas as 274 funções, zero importacoes estáticas, capacidade de contornar a criptografia AppBound do Chrome v20 via injecao de memoria, e novo targeting de credenciais Azure (roubo de tokens MSAL). O timing coincidiu com a disrrupcao das operações do LummaC2 pela lei de aplicação, atraindo múltiplos grupos criminosos para o Vidar como alternativa principal. O preco varia de US$ 130 a US$ 750 (modelo); uma compra única de US$ 300 oferece licenca vitalicia. Os operadores **proibem o uso em Belarus, Russia, Cazaquistao e outros paises CIS**. **Plataformas:** Windows --- ## Como Funciona O Vidar Stealer opera em um pipeline de 9 fases (documentado na análise do Vidar 2.0): 1. **Entrega:** Via malvertising, drive-by compromise ([[t1189-drive-by-compromise|T1189]]), phishing ([[t1566-phishing|T1566]]) ou loaders de segundo estagio como [[s0226-smokeloader|SmokeLoader]] e PrivateLoader. 2. **Inicializacao e evasão:** Verifica ambiente para debuggers ([[t1622-debugger-evasion|T1622]]) e emuladores de sandbox (busca usernames `HAL9TH` e `JohnDoe` do Windows Defender) ([[t1497-001-system-checks|T1497.001]]). Inicializa arquitetura multithreaded (Vidar 2.0) com state machines ofuscadas. 3. **Resolução de C2 via redes sociais:** Usa perfis do Steam, Telegram, Mastodon e TikTok como dead drop resolvers para obter o endereco do servidor C2 - tornando o bloqueio de infraestrutura extremamente dificil. 4. **Coleta em paralelo (Vidar 2.0):** Threads separadas coletam simultaneamente: credenciais de Chrome/Edge/Firefox/Opera/Vivaldi ([[t1555-003-credentials-from-web-browsers|T1555.003]]), cookies ([[t1539-steal-web-session-cookie|T1539]]), dados de 50+ carteiras de criptomoeda, tokens Azure/MSAL ([[t1528-steal-application-access-token|T1528]]), credenciais de FTP (FileZilla, WinSCP), e-mail (Outlook, Thunderbird), gaming (Steam) e mensageiros (Telegram, Discord). 5. **Exfiltração e auto-destruicao:** Os dados sao exfiltrados via HTTP multipart/form-data para C2 ([[t1071-001-web-protocols|T1071.001]]). Após exfiltração bem-sucedida, o Vidar **se auto-deleta** ([[t1070-004-file-deletion|T1070.004]]) para limpar rastros forenses. --- ## Attack Flow ```mermaid graph TB A["Entrega<br/>Malvertising / SmokeLoader<br/>Drive-by T1189 / Phishing T1566"] --> B["Anti-Analysis<br/>Check sandbox HAL9TH/JohnDoe<br/>T1497.001 + T1622"] B --> C["Dead Drop Resolver<br/>Steam / Telegram / TikTok<br/>Obter endereco C2"] C --> D["Coleta Multithreaded<br/>Browsers + Cripto + Azure<br/>FTP + Email + Gaming (paralelo)"] D --> E["Screenshot + Fingerprint<br/>T1113 + T1082<br/>Hardware ID e locale"] E --> F["Exfiltração HTTP<br/>multipart/form-data<br/>C2 round-robin T1041"] F --> G["Auto-delete<br/>T1070.004<br/>Remoção de evidencias"] classDef delivery fill:#e74c3c,color:#fff classDef evasion fill:#e67e22,color:#fff classDef c2 fill:#3498db,color:#fff classDef collect fill:#27ae60,color:#fff classDef exfil fill:#9b59b6,color:#fff classDef cleanup fill:#2c3e50,color:#fff class A delivery class B evasion class C c2 class D,E collect class F exfil class G cleanup ``` --- ## Timeline ```mermaid timeline title Vidar Stealer - Evolução Nov 2018 : Vidar surge como fork do Arkei Stealer 2019-2020 : Expande para malvertising e exploit kits 2022 : Segundo infostealer mais usado na dark web 2022 : RagnarLocker deploya Vidar para roubo de credenciais 2023-2024 : Top 3 infostealer global - parceria com STOP/Djvu H2 2024 : 17 porcento de incidentes - 65 M+ senhas roubadas Out 2025 : Vidar 2.0 lancado - reescrita completa em C 2025 : Criminosos migram do LummaC2 para Vidar após disrupcao ``` --- ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1189-drive-by-compromise\|T1189]] | Drive-by Compromise | | Initial Access | [[t1566-phishing\|T1566]] | Phishing (spearphishing attachment/link) | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | | Privilege Escalation | [[t1055-process-injection\|T1055]] | Process Injection (RegAsm.exe) | | Defense Evasion | [[t1622-debugger-evasion\|T1622]] | Debugger Evasion | | Defense Evasion | [[t1497-001-system-checks\|T1497.001]] | Virtualization/Sandbox Evasion - System Checks | | Defense Evasion | [[t1070-004-file-deletion\|T1070.004]] | File Deletion (auto-delete pos-exfiltração) | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credentials from Web Browsers | | Credential Access | [[t1539-steal-web-session-cookie\|T1539]] | Steal Web Session Cookie | | Credential Access | [[t1528-steal-application-access-token\|T1528]] | Steal Application Access Token (Azure MSAL) | | Discovery | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | File and Directory Discovery (10 niveis) | | Discovery | [[t1033-system-owneruser-discovery\|T1033]] | System Owner/User Discovery | | Discovery | [[t1057-process-discovery\|T1057]] | Process Discovery | | Discovery | [[t1614-001-system-language-discovery\|T1614.001]] | System Language Discovery | | Collection | [[t1005-data-from-local-system\|T1005]] | Data from Local System | | Collection | [[t1113-screen-capture\|T1113]] | Screen Capture | | Collection | [[t1119-automated-collection\|T1119]] | Automated Collection (multithreaded) | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols (HTTP multipart/form-data) | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltration Over C2 Channel | | Exfiltration | [[t1020-automated-exfiltration\|T1020]] | Automated Exfiltration | --- ## Relevância LATAM > [!latam] Impacto no Brasil e América Latina > O Vidar Stealer opera **sem restrições no Brasil e LATAM** — não verifica paises CIS. A combinação Vidar + STOP/Djvu + SmokeLoader representa risco múltiplo simultâneo para vítimas brasileiras, especialmente via software pirata. O Vidar 2.0 expande o risco para organizações com Azure/Microsoft 365, comprometendo tokens MSAL sem necessidade de senhas adicionais. O Vidar Stealer nao realiza verificação de paises CIS, o que significa que **opera sem restricoes no Brasil e na America Latina**. Sua infraestrutura C2 baseada em redes sociais legitimas (Steam, Telegram, TikTok) torna o bloqueio especialmente desafiador, pois essas plataformas sao amplamente usadas no Brasil. O Vidar foi associado a campanhas do grupo [[ragnarlocker|RagnarLocker]] para coleta de credenciais pre-ransomware e e tipicamente distribuido juntamente com o ransomware STOP/Djvu - uma das familias de ransomware mais prevalentes para usuarios individuais no Brasil, especialmente via software pirata. A combinacao Vidar + STOP/Djvu + [[s0226-smokeloader|SmokeLoader]] em uma única infecção foi documentada pela CYFIRMA e representa risco multiplo simultane para vitimas brasileiras. Com o lancamento do Vidar 2.0 e o targeting de tokens Azure MSAL, o risco se expande para organizacoes brasileiras que adotam Microsoft 365 e Azure como infraestrutura de nuvem. O roubo de tokens de acesso Azure permite movimento lateral em ambientes corporativos sem necessidade de credenciais adicionais. **Setores impactados:** [[financial|financeiro]] · [[technology|tecnologia]] · [[government|governo]] · individuos (software pirata) --- ## Detecção - **Social Media C2 Dead Drop** - Monitorar requisicoes HTTP GET para `steamcommunity.com/profiles/`, `t.me/` e perfis de redes sociais por processos desconhecidos - padrao único do Vidar para resolução de C2. - **RegAsm.exe Process Injection** - Alertar para `RegAsm.exe` sendo executado com linhas de comando incomuns ou sendo target de injecao de processo por processos nao relacionados ao .NET. - **Sandbox Evasion Username Check** - Detectar leitura de `USERNAME` via `GetUserNameW` seguida de terminacao imediata do processo - padrao de checagem `HAL9TH`/`JohnDoe` do Vidar. - **Azure MSAL Token Access (Vidar 2.0)** - Monitorar acesso ao diretorio `%LOCALAPPDATA%\Microsoft\TokenCache` e arquivos `msal.cache` por processos nao relacionados a aplicações Microsoft legitimas. ```sigma title: Vidar Stealer C2 Dead Drop via Social Media status: experimental logsource: category: network_connection product: windows detection: selection_steam: DestinationHostname: 'steamcommunity.com' Image|not_endswith: - '\steam.exe' - '\steamwebhelper.exe' selection_telegram_resolve: DestinationHostname: 'api.telegram.org' Image|not_endswith: - '\Telegram.exe' condition: selection_steam or selection_telegram_resolve falsepositives: - Aplicacoes legitimas de terceiros com integracao Steam/Telegram level: medium tags: - attack.command_and_control - attack.t1102 - code/express ``` --- ## Referências - [1](https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-vidar-stealer) eSentire TRU - Vidar Stealer Analysis 2023 - [2](https://www.trendmicro.com/en_us/research/25/j/how-vidar-stealer-2-upgrades-infostealer-capabilities.html) Trend Micro - Vidar Stealer 2.0 Upgrade Analysis - [3](https://www.ontinue.com/resource/blog-vidar-stealer-malware-analysis/) Ontinue - Vidar 2.0 Azure Credential Targeting - [4](https://blackpointcyber.com/wp-content/uploads/2024/08/Vidar-Stealer-Malware-Threat-Profile_Adversary-Pursuit-Group-Blackpoint-Cyber_2024Q3.pdf) Blackpoint Cyber - Vidar Stealer Threat Profile Q3 2024 - [5](https://www.cyfirma.com/research/vidar-stealer-an-in-depth-analysis-of-an-information-stealing-malware/) CYFIRMA - Vidar Stealer In-Depth Analysis - [6](https://deepstrike.io/blog/infostealer-malware-credential-theft-2025) DeepStrike - Top Infostealer Families 2025