重大威胁：Vidar窃密木马v2.0通过多线程内存注入绕过Chrome AppBound加密

趋势科技研究人员发布了对Vidar窃密木马v2.0的深入分析，这是知名Vidar信息窃取恶意软件的重大升级版本，具备强大的新功能。

这个全新采用C语言编写的版本引入了多线程数据窃取、反分析功能以及内存注入技术，能够绕过Google Chrome的AppBound加密——使其成为2025年技术上最复杂的信息窃取器之一。

技术架构升级

Vidar 2.0引入了多线程系统，可根据受害者硬件动态调整操作规模。恶意软件不再顺序收集凭据和文件，而是使用并行线程同时从浏览器、加密货币钱包和云目录中获取数据。

趋势科技发现，该恶意软件会根据CPU核心和可用内存智能调整线程数，在最大化数据窃取速度的同时保持隐蔽性。这种方法减少了Vidar在受感染系统上的活跃时间，降低了被终端安全工具检测的概率。

Vidar 2.0最令人担忧的升级在于其浏览器凭据窃取技术。趋势科技报告称，该恶意软件能够绕过Chrome的AppBound加密——这种防御机制旨在通过将加密密钥绑定到特定应用程序来防止未经授权的凭据解密。

为实现此目的，Vidar 2.0在调试模式下启动Chrome和其他浏览器，并将恶意代码直接注入正在运行的进程。注入的有效负载从浏览器内存而非磁盘存储中提取加密密钥，然后通过命名管道将其传输回恶意软件的核心进程。

另一个显著新增功能是自动多态生成器，这是一个自变形引擎，确保每个Vidar构建都是二进制唯一的。每个新样本都具有独特的签名和混淆代码，使防病毒工具的静态分析复杂化。

该恶意软件在执行过程中执行调试器检测、时间检查和硬件分析，如果检测到沙箱或分析环境的迹象，会立即终止。这种分层规避策略展示了Vidar已演变为专业维护的恶意软件平台，在隐蔽性方面可与商业级间谍软件相媲美。

趋势科技的遥测数据显示，Vidar 2.0系统性地针对大量凭据和数据源，包括：

该恶意软件甚至捕获屏幕截图并扫描可移动驱动器中的敏感文件，如加密密钥和导出的密码。

Vidar的数据外传过程也经过重新设计以提高灵活性。趋势科技观察到，该恶意软件使用HTTP多部分表单将窃取的数据传输到轮换的命令与控制(C&C)服务器，这些服务器可能包括Telegram机器人和甚至Steam配置文件作为代理通道。

在最后阶段，Vidar 2.0安全地打包窃取的数据，验证成功传输到C&C服务器，并执行系统清理以移除其活动证据。