Vidar-Malware versteckt zweiteilige Nutzlasten in JPEG- und TXT-Dateien, um Erkennung zu umgehen

Seit ihrem ersten Auftreten im Jahr 2018 begann Vidar als einfacher Credential-Stealer, der auf dem Arkei-Framework aufgebaut war. Im Laufe der Jahre entwickelte es sich zu etwas weitaus Gefährlicherem.

Bis 2026 hat es ein Malware-as-a-Service (MaaS)-Modell angenommen, unterstützt mehrstufige Lieferketten und nutzt soziale Medienplattformen wie Telegram für Befehls- und Kontrolloperationen. Die Malware stiehlt nicht mehr nur Passwörter.

Sie führt nun gesamte Infektionsketten im Arbeitsspeicher eines Computers aus und hinterlässt auf dem infizierten System nur sehr wenige Spuren. Analysten des Lat61 Threat Intelligence Team neuen Varianten und veröffentlichten ihre Ergebnisse am 24.

Was die Studie zeigt

April 2026. Die Forscher Kedar Shashikant Pandit und Prathamesh Shingare untersuchten den gesamten Infektionszyklus, vom allerersten Eintrittspunkt bis zur endgültigen Datenexfiltrationsphase.

Ihre Analyse ergab, dass dieser spezifische Vidar-Variante stark auf verschleierte Skripte, vertrauenswürdige Windows-Tools und gestaffelte Übermittlung durch nicht ausführbare Dateiformate angewiesen ist, um vor Sicherheitstools verborgen zu bleiben. Die Malware verbreitet sich über mehrere Eintrittspunkte.

Gefälschte GitHub-Repositories, die als Entwicklertools oder geleakte Software getarnt sind, wurden zur Verbreitung und gefälschte CAPTCHA-Seiten, bekannt als ClickFix-Seiten, täuschen Benutzer dazu, Windows-Befehle auszuführen, die die Infektionskette auslösen.

Auch Gaming-Communities wurden durch gefälschte Cheat-Tool-Repositorys

Auch Gaming-Communities wurden durch gefälschte Cheat-Tool-Repositorys ins Visier genommen, die auf Plattformen wie GitHub, Discord und Reddit geteilt werden, wo Benutzer eher bereit sind, Sicherheitswarnungen zugunsten ignorieren. Die Kampagne hat weitreichende Auswirkungen.

Vidar zielt auf über 200 Browser-Erweiterungen ab, darunter Krypto-Wallets wie MetaMask, Phantom und Coinbase Wallet sowie Passwort-Manager wie Bitwarden, LastPass und KeePass.

Dies geht weit über einfachen Credential-Diebstahl hinaus und setzt sowohl Einzelpersonen als auch Organisationen einem ernsthaften Risiko ßflächiger Datenexposition aus.

Sicherheitslage und Risiko

Infektionsmechanismus: Wie Vidar durch gestaffelte Dateilieferung ausgeführt wird Die Infektion beginnt mit einem Go-kompilierten Dropper-Binary, das als anfänglicher Eintrittspunkt dient. Da Go keine Sprache ist, die typischerweise mit Malware verbunden ist, hilft diese Wahl der Probe, viele traditionelle Sicherheitstools zu umgehen.

Dateinformation Bild (Quelle – Point Wild) Nach der Ausführung platziert der Dropper eine VBScript-Datei mit dem Namen ewccbqtllunx.vbs im Windows Temp-Ordner. VB-Dateien-Abgabestandort (Quelle – Point Wild) Das VBScript prüft zuerst, ob das System in einer Sandbox-Umgebung läuft.

Wird eine Sandbox erkannt, beendet sich das Skript sofort. Andernfalls konstruiert es einen verschleierten PowerShell-Befehl und führt diesen in einem versteckten Fenster aus.

PowerShell-Payload-Konstruktion (Quelle – Point Wild) Dieses

PowerShell-Payload-Konstruktion (Quelle – Point Wild) Dieses PowerShell-Skript verbindet sich dann mit einer entfernten IP-Adresse unter 62.60.226.200 über TLS 1.2 und lädt eine Datei namens 160066.jpg herunter.

Die Datei sieht wie ein normales Bild aus, enthält jedoch eine versteckte Base64-Payload zwischen benutzerdefinierten Markern mit der Bezeichnung BASE64_START und BASE64_END. Die Malware lokalisiert diese Marker, extrahiert den kodierten Inhalt, dekodiert alles im Speicher und lädt das Ergebnis als.NET-Assembly, ohne etwas auf die Festplatte zu speichern.

Ein zweiter Request lädt anschließend KGVn4OY.txt vom selben Server herunter. Diese Textdatei enthält umgekehrte und verschleierte Base64-Inhalte.

Sicherheitslage und Risiko

Die Malware kehrt die Zeichenkette um, ersetzt Junk-Zeichen, dekodiert das Ergebnis und führt es vollständig im Speicher aus. Die finale Nutzlast ist eine 64-Bit-C++-Executable, die durch einen Crypter geschützt ist, der Windows API-Aufrufe zur Laufzeit auflöst, um die Erkennung zu vermeiden.

Sicherheitsteams sollten ausgehende Verbindungen zu direkt IP-basierten HTTP-Endpunkten blockieren, auf WScript- und PowerShell-Prozess-Spawn-Ketten überwachen, die Ausführung, verifizierte Prozesse beschränken und regelmäßig den Inhalt des Startordners auf unbefugte Änderungen überprüfen.