vidar-stealer - RunkIntel

# Vidar Stealer > [!high] Infostealer MaaS com C2 via Redes Sociais - Baseado em Arkei > Vidar Stealer é um infostealer Windows operado como Malware-as-a-Service (MaaS) desde 2018, derivado do Arkei Stealer. Rouba credenciais de browser, carteiras de criptomoedas, cookies de sessão e dados financeiros. Usa perfis de redes sociais (Telegram, Steam, Mastodon) como canal de C2 para dificultar bloqueio por IP. ## Visão Geral O Vidar Stealer é um infostealer para Windows operado como **Malware-as-a-Service (MaaS)** desde o final de 2018, derivado diretamente do código-fonte do Arkei Stealer. No modelo MaaS, qualquer ator de ameaça pode alugar o Vidar e configurar campanhas independentes, o que explica a grande variedade de vetores de distribuição documentados: kits de exploração, [[privateloader]], anúncios maliciosos (malvertising), fake CAPTCHAs e instaladores trojanizados de software popular. A característica técnica mais distintiva do Vidar é seu mecanismo de C2 via redes sociais: o malware busca perfis em plataformas como Telegram, Steam e Mastodon que contêm o endereço do servidor C2 embutido na bio do perfil. Esse método de "dead drop resolver" contorna blocklists de IP e firewall sem recompilar o malware. O Vidar realiza coleta de dados em múltiplas categorias de forma paralela: credenciais salvas em navegadores Chromium e Firefox, cookies de sessão, carteiras de criptomoedas (MetaMask, Exodus, Electrum), capturas de tela e dados de aplicativos de comunicação. Os dados coletados são compactados em ZIP e exfiltrados ao C2, após o qual o malware se auto-destrói para minimizar evidências forenses. > [!latam] Relevância para o Brasil e LATAM > O Brasil é um dos maiores mercados de criptomoedas da América Latina, com milhões de usuários em exchanges nacionais (Mercado Bitcoin, Foxbit) e internacionais. O Vidar Stealer roba carteiras cripto e credenciais de exchanges - tornando-o diretamente ameaçador. A distribuição global via [[privateloader]] e malvertising em mecanismos de busca atinge usuários brasileiros sem campanhas regionais específicas. O bypass de autenticação de dois fatores via roubo de cookies é especialmente preocupante para plataformas de home banking do [[financial|setor financeiro]] digital brasileiro. ## Descrição O Vidar Stealer é um infostealer para Windows que opera como **Malware-as-a-Service (MaaS)** desde o final de **2018**, derivado diretamente do código-fonte do Arkei Stealer - uma família anterior que compartilha arquitetura similar. No modelo MaaS, qualquer ator de ameaça pode alugar o Vidar e configurar campanhas independentes, o que explica a grande variedade de vetores de distribuição documentados: kits de exploração, [[privateloader|PrivateLoader]], anúncios maliciosos (malvertising), fake CAPTCHAs, instaladores trojanizados de software popular e campanhas de phishing com temas de atualização de software. A característica técnica mais distintiva do Vidar é seu **mecanismo de C2 via redes sociais**: o malware busca perfis em plataformas como Telegram, Steam, Mastodon e Twitter/X que contêm o endereço do servidor C2 embutido na bio ou descrição do perfil. Esse método eficiente de "dead drop resolver" contorna blocklists de IP e firewall - os operadores simplesmente atualizam o perfil social quando precisam mudar o C2, sem recompilar o malware. A comunicação subsequente com o servidor C2 real usa HTTP multipart com autenticação por tokens de build. O Vidar realiza coleta de dados em múltiplas categorias de forma **paralela e multithreaded** (especialmente nas versões 2.0+): credenciais salvas em navegadores Chromium e Firefox (incluindo bypass do Chrome v20 AppBound Encryption via DPAPI e injeção de memória), cookies de sessão, histórico de navegação, dados de preenchimento automático, números de cartão, arquivos de carteiras de criptomoedas (MetaMask, Exodus, Electrum, Atomic Wallet), credenciais FTP/cloud, capturas de tela e dados de aplicativos de comunicação. Os dados coletados são compactados em ZIP e exfiltrados ao C2, após o qual o malware se auto-destrói para minimizar evidências forenses. Para o Brasil e LATAM, o Vidar representa um risco elevado no contexto do crescimento do mercado de criptomoedas e da alta bancarização digital. A distribuição via [[privateloader|PrivateLoader]] e malvertising atinge usuários brasileiros sem distinção geográfica, e a capacidade de bypassar autenticação de dois fatores via roubo de cookies de sessão de plataformas bancárias e exchanges de criptomoedas cria risco de perdas financeiras diretas e em grande escala. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais salvas em Chrome, Firefox, Edge | | Defense Evasion | [[t1027-obfuscated-files\|T1027]] | Controle de fluxo ofuscado e amostras polimórficas | | Defense Evasion | [[t1497-virtualization-sandbox-evasion\|T1497]] | Checks de debugger, timing, hardware e sandbox | | Defense Evasion | [[t1055-process-injection\|T1055]] | Injeção de memória para bypass Chrome AppBound | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfilamento de hardware, OS e aplicativos instalados | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos de carteira cripto e credenciais locais | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP multipart para servidor C2 | | C2 | [[t1102-web-service\|T1102]] | Perfis em Telegram/Steam/Mastodon como dead drop resolver | | Exfiltration | [[t1041-exfiltration-over-c2\|T1041]] | Exfiltração via HTTP após compressão ZIP | ## Grupos que Usam O Vidar opera como MaaS sem atribuição a um único grupo. Entre os distribuidores documentados: - Operadores do [[privateloader|PrivateLoader]] que o distribuem como payload pago - Grupos de cibercrime focados em roubo de criptomoedas e credenciais bancárias no LATAM - Atores que usam malvertising em plataformas de busca (Google Ads) com lures de software popular ## Detecção - Monitorar requisições HTTP a **perfis de redes sociais** (api.telegram.org, api.steampowered.com) por processos que não são os clientes nativos dessas plataformas - o Vidar usa essas APIs para resolver o endereço C2 - Detectar acesso ao banco de dados SQLite de credenciais do Chrome (`Login Data`, `Cookies`) por processos externos ao navegador - assinatura característica de infostealers - Alertar para criação de arquivos ZIP temporários em `%TEMP%` ou `%APPDATA%` por processos não identificados seguida de transmissão HTTP POST imediata - padrão de exfiltração do Vidar - Implementar **EDR** com detecção de injeção de memória em processos de navegador: o bypass do Chrome AppBound Encryption do Vidar 2.0 requer injeção em `chrome.exe` - Usar regras YARA disponíveis no MalwareBazaar para detecção estática de amostras Vidar por padrões de strings RC4 e estrutura de imports característica do Arkei/Vidar ## Relevância LATAM/Brasil O Brasil é um dos maiores mercados de criptomoedas da América Latina, com milhões de usuários em exchanges nacionais (Mercado Bitcoin, Foxbit, Binance BR) e internacionais. O Vidar Stealer tem como capacidade central o roubo de carteiras de criptomoedas e credenciais de exchanges - tornando-o diretamente ameaçador a este mercado. A distribuição global via [[privateloader|PrivateLoader]] e malvertising em mecanismos de busca atinge usuários brasileiros sem necessidade de campanhas regionais específicas. O bypass de autenticação de dois fatores via roubo de cookies de sessão é especialmente preocupante para plataformas de home banking que dependem de sessões web. O [[financial|setor financeiro]] digital e o ecossistema cripto brasileiro devem implementar monitoramento de endpoint robusto e políticas de proteção de credenciais que vão além de senhas e 2FA baseado em SMS. ## Referências - [1](https://securelist.com/vidar-stealer-analysis/) Kaspersky Securelist - Vidar Stealer Analysis - [2](https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-malware/what-is-vidar-malware/) Check Point - What is Vidar Malware (2023) - [3](https://www.trendmicro.com/en_us/research/25/j/how-vidar-stealer-2-upgrades-infostealer-capabilities.html) Trend Micro - Vidar Stealer 2.0 Upgrade (2025) - [4](https://blackpointcyber.com/wp-content/uploads/2024/08/Vidar-Stealer-Malware-Threat-Profile_Adversary-Pursuit-Group-Blackpoint-Cyber_2024Q3.pdf) Blackpoint Cyber - Vidar Stealer Threat Profile (2024) - [5](https://www.cyfirma.com/research/vidar-stealer-an-in-depth-analysis-of-an-information-stealing-malware/) CYFIRMA - Vidar Stealer In-Depth Analysis (2023) - [6](https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar) Malpedia - Vidar Stealer Entry