СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.11.2025
#Dev#ИБ#Инфра#Облака

Vidar Stealer 2.0: запутывание, эксфильтрация и кража учетных данных Azure

Появившаяся версия вредоносного ПО Vidar Stealer 2.0 представляет собой значительное развитие классического стилера: злоумышленники сделали «почти полный архитектурный редизайн», усилив запутывание, таргетинг на облачные учетные данные и механизмы эксфильтрации. Сообщество кибербезопасности фиксирует повышение уровня сложности реализации и аккуратности в организации сбора данных — от локальных хранилищ браузеров до специализированных Azure-токенов.

Ключевые выводы

  • Архитектурный редизайн и обфускация: применено управление потоком (flow flattening) во всех 274 функциях и методы обфускации конечного автомата, что значительно затрудняет статический анализ.
  • Экcфильтрация данных: используется структурированный механизм на основе HTTP POST для отправки похищенной информации; конфигурации динамически реконструируются и привязываются к детальной структуре памяти.
  • Таргетинг на Azure: приоритет отдан краже учетных данных Microsoft — в частности, токенов MSAL и конфигураций Azure CLI.
  • Доступ к локальным кэшем: вредонос проверяет наличие LOCALAPPDATA и извлекает файлы кэша, которые могут нарушить аутентификацию в сервисах Microsoft.
  • Браузеры и хранение паролей: охвачены Chrome, Edge, Firefox, Opera и другие; применяется Windows Data Protection API для расшифровки сохранённых учетных данных.
  • Криптография: для извлечения паролей из Chrome используется подход с AES-GCM, что требует точной работы с криптографическими ключами и соответствует современным стандартам шифрования.
  • Глубокий сбор данных: рекурсивный обход каталогов до 10 уровней, с целью полного охвата профилей браузеров, криптовалютных кошельков и других потенциальных источников.
  • Классификация и тактики: похищенные данные обрабатываются и классифицируются; поведение вредоносного ПО коррелирует с техниками из платформы MITRE ATT&CK — C2, anti-analysis, collection.

Технический разбор

Главная особенность новой версии — фокус на усложнении обратного инжиниринга. Использование flow flattening в 274 функциях вместе с механизмами конечного автомата создаёт чрезвычайно фрагментированный и нелинейный код, который практически лишён очевидных контрольных путей для статического анализа. Это вынуждает исследователей применять динамический анализ и эмуляцию для восстановления логики.

Процесс эксфильтрации реализован через структурированные HTTP POST-запросы, которые формируются на основе динамически строящихся конфигураций. Конфигурации включают пути к чувствительным данным и реконструируют расположение объектов в памяти — это облегчает корректную сериализацию и отправку данных на сервер управления.

Таргетинг на облачные учетные данные и локальные кэши

Vidar Stealer 2.0 явно выделяет Azure-учетные данные как приоритетную цель. Вредонос ориентирован на кражу:

  • токенов MSAL (Microsoft Authentication Library);
  • конфигураций и хранилищ Azure CLI;
  • локальных кэшей, обнаруживаемых через переменную окружения LOCALAPPDATA.

Доступ к этим артефактам даёт злоумышленникам возможность получить долгоживущие или кратковременные токены, которые потенциально могут быть использованы для дальнейшего движения внутри инфраструктуры организации или для проведения атак на облачные ресурсы.

Извлечение данных из браузеров и криптокошельков

Для получения сохраненных паролей Vidar 2.0 опирается на возможности Windows Data Protection API, а в случае Chrome реализует процедуру извлечения с поддержкой AES-GCM. Это предполагает точную работу с ключами шифрования и воспроизведение схем, применяемых современными версиями браузеров.

Помимо браузерных профилей, вредонос рекурсивно обходит файловую систему до глубины десяти уровней, что позволяет собирать файлы конфигурации, seed-фразы и другие артефакты криптокошельков и приложений.

Поведенческие аспекты и соответствие MITRE ATT&CK

Поведение Vidar Stealer 2.0 демонстрирует использование известных тактик и техник:

  • Command and Control через приложениего уровня (C2);
  • уклонение от анализа (anti-analysis/obfuscation);
  • систематический сбор учетных данных и артефактов (collection).

Такая структура указывает на хорошо организованный подход к краже данных и на целенаправленную сегрегацию конфиденциальных Azure-учетных данных для возможного повторного использования в последующих атаках.

Что это означает для организаций

Учитывая нацеленность Vidar 2.0 на облачные учетные данные и способность обходить локальные механизмы защиты, последствия для организаций, использующих Microsoft Azure и локальные проекции аутентификации, могут быть серьёзными. Взломанные токены и утечка конфигураций Azure CLI открывают возможности для несанкционированного доступа, эскалации привилегий и скрытого размножения активности в облаке.

Практические рекомендации

  • Рассмотреть немедленную ротацию и отзыв подозрительных токенов MSAL и учетных данных Azure при обнаружении инцидента;
  • Включить и контролировать многофакторную аутентификацию (MFA) для критичных облачных учетных записей;
  • Аудитировать и контролировать доступы Azure, настроить условный доступ и ограничения по IP/устройствам;
  • Ограничить привилегии локальных учетных записей и доступ к каталогам с чувствительными кэшами (в т.ч. LOCALAPPDATA);
  • Обновлять браузеры и ОС, следить за патчами безопасности и использовать EDR/AV с возможностью детектирования обфускации и поведенческих индикаторов;
  • Мониторить аномальную активность, связанную с exfil и C2-коммуникациями, и иметь процедуру быстрого реагирования.

«Дизайн вредоносного ПО намекает на хорошо структурированный и организованный подход к краже данных, категорически изолирующий конфиденциальные учетные данные Azure для потенциального использования в будущих атаках.»

Vidar Stealer 2.0 — это пример того, как актуальные угрозы эволюционируют в сторону более изощренных методов обхода защиты и фокусировки на облачных ресурсах. Организациям стоит воспринимать такие инструменты как реальную угрозу и укреплять как облачные, так и локальные элементы защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: