СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:22
#ИБ

Vidar v1.5 на Go: новый уровень скрытности и кражи данных

Vidar, один из наиболее известных stealer на рынке вредоносного ПО, получил новый вариант v1.5, разработанный на Go. Это заметный отход от привычной для семейства реализации на .NET и C++. Образец был проанализирован 13 мая 2026 года и, по данным исследования, демонстрирует существенно более высокий уровень технической зрелости и скрытности.

Что изменилось в Vidar v1.5

Новый вариант представляет собой PE32+-бинарник размером около 7 МБ, собранный с использованием Go 1.25.4. Главная особенность версии — не только смена языка разработки, но и усложнение внутренних механизмов, включая:

  • многоуровневый Sandbox Evasion с системой оценки по 12 категориям;
  • Dynamic resolution для нативных API;
  • возможность code injection в процессы;
  • проверки runtime, направленные на выявление виртуализированных сред;
  • набор антианалитических техник для затруднения обнаружения.

По оценке исследователей, подобная архитектура выводит Vidar v1.5 за рамки стандартного инфостила и делает его существенно более трудным для анализа.

Как работает обход песочницы

Особое внимание в отчете уделено механизму Sandbox Evasion. Вредоносная программа использует систему, которая оценивает среду выполнения по двенадцати признакам. Такая модель позволяет не просто искать отдельные индикаторы виртуализации, а формировать совокупную картину окружения и принимать решение о продолжении работы.

Кроме того, Vidar проверяет наличие:

  • общих учетных записей песочницы;
  • известных антивирусных инструментов;
  • компонентов Avast и Kaspersky.

Это указывает на явно целевой характер антизащитной логики: вредоносное ПО стремится определить, находится ли оно в лабораторной среде, прежде чем раскрывать свои функции.

Инфраструктура C2 и мёртвая доставка

Коммуникация с инфраструктурой управления C2 организована так, чтобы скрыть истинные операционные IP-адреса на раннем этапе. Для этого применяются механизмы dead drop через страницы профилей Telegram и Steam.

Сценарий выглядит следующим образом: вредоносное ПО сначала обращается к URL-адресам, связанным с мёртвыми почтовыми ящиками, после чего получает или обновляет адреса C2 из Telegram и Steam. Такой подход обеспечивает ротацию инфраструктуры без необходимости немедленного обновления бинарного файла.

Основной сервер C2, по данным отчета, расположен в Финляндии. Передача данных осуществляется через HTTPS с использованием необработанного IP-адреса, а запросы оформляются как POST с multipart form-data.

Какие данные собирает вредоносное ПО

Vidar v1.5 сохраняет ключевую функцию семейства — кражу данных. При этом акцент сделан на более скрытные методы доступа к библиотекам и манипуляции процессами. В частности, образец ориентирован на:

  • извлечение browser credentials;
  • кражу cryptographic keys;
  • использование техник memory injection;
  • скрытое взаимодействие с процессами и библиотеками.

Отдельно отмечается применение продвинутых криптографических примитивов. Это может затруднять сопоставление активности образца с классическими признаками инфостилера и усложнять детектирование по привычным сигнатурам.

Почему Vidar v1.5 считается более серьезной угрозой

Исторически Vidar уже закрепился как опасный stealer, но новая версия повышает планку сложности. Использование Go, продвинутого Sandbox Evasion, динамического разрешения API и скрытой C2-архитектуры делает кампании с участием v1.5 более устойчивыми к анализу и блокировке.

По сути, перед исследователями и защитными решениями появляется не просто очередной вариант известного вредоноса, а более зрелая и гибкая платформа для кражи данных. Это повышает риск для организаций и пользователей, особенно в части компрометации учетных данных и криптографических материалов.

«Новый вариант Vidar демонстрирует не косметические изменения, а качественный рост операционной сложности», — следует из выводов анализа.

Таким образом, Vidar v1.5 можно рассматривать как эволюцию семейства в сторону более скрытных, адаптивных и технически продвинутых атак. Для специалистов по кибербезопасности это означает необходимость более внимательного мониторинга C2-активности, сетевых артефактов и попыток обхода защитных сред.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: