Vidar Stealer：揭露新型欺骗策略

技术博客

作者：Lovely Antonio, Louis Sorita, Jr. 和 Arvin Lauren Tan

Vidar Stealer 是一款臭名昭著的信息窃取恶意软件，自 2018 年首次出现以来，网络犯罪分子一直利用它通过浏览器 cookie、存储的凭据、财务信息等窃取敏感数据。随着时间的推移，其分发方法不断演变（源自早期的 Arkei 木马），适应了恶意电子邮件附件或恶意广告活动等不同攻击媒介。这款信息窃取器作为恶意软件即服务（MaaS）运作，可以直接从暗网购买。

最近的一个例子是 2025 年 2 月 6 日在 Steam 上发布的免费游戏 PirateFi。该游戏以测试版为幌子，在文件中隐藏了 Vidar Stealer，安装时会感染毫无戒心的玩家。这一事件突显了威胁行为者越来越多地针对游戏平台传播恶意软件。

在搜寻 Vidar Stealer 变种时，我们发现了一个不寻常的样本，截至 2025 年 3 月 9 日，VirusTotal 上仅有 5 次检测。低检测率表明可能存在混淆或新变种。有趣的是，G Data 将该文件标记为 VidarStealer，这引起了我们进一步深入调查的兴趣。

VirusTotal 扫描结果

查看 VirusTotal 中的元数据时，一个令人担忧的细节引人注目：

• 文件名：BGInfo.exe（合法的 Microsoft Sysinternals 工具）

• 签名：Microsoft 签名已过期

这是一个直接的危险信号。Sysinternals 工具被广泛信任，因此任何异常（如签名过期）都表明该文件不再受有效证书保护，引发了潜在篡改或未经授权修改的担忧。威胁行为者经常利用过期签名将恶意文件伪装成合法文件，因为他们知道某些安全机制可能仍会将其识别为已签名的可执行文件。

什么是 BGInfo？为什么它会出现？

BGInfo 是微软开发的系统信息工具，被 IT 专业人员和网络安全分析师广泛用于在桌面背景上直接显示关键系统细节（如 IP 地址、域名和系统运行时间）。这使得安全团队无需手动检查系统属性即可快速评估系统配置，成为管理和监控企业环境的宝贵工具。

2 月 25 日，观察到一个恶意软件样本，模仿合法二进制文件的创建时间（2025 年 2 月 13 日）以避免怀疑。攻击者经常利用软件更新分发恶意版本，因为他们知道用户在预期更新时更可能信任并安装更新。通过利用这种时机，威胁行为者增加了其恶意负载被下载和执行的机会。

发现差异：合法与恶意 BGInfo

要确定 BGInfo 更新是否被篡改，与官方版本直接对比至关重要。由于 BGInfo.exe 是 Microsoft Sysinternals Suite 的一部分，任何与原始文件已知特征的显著偏差都可能表明已被篡改。

关键危险信号包括：

• 文件大小：官方 2.1 MB vs. 恶意 10.2 MB（由于额外的隐藏代码/二进制填充而更大）

• 文件哈希：官方和可疑版本具有不同的加密哈希

恶意软件作者还修改了 BGInfo.exe 的初始化例程，特别是处理进程堆以进行未来的内存分配，并将其指向恶意函数，确保文件运行恶意代码而非预期的 BGInfo 功能。一个明显的篡改迹象是受感染的版本不会更新桌面壁纸（这是 BGInfo 的一个关键功能），表明存在问题。

调查 Vidar Stealer

跟踪修改后的函数，会遇到对 VirtualAlloc 的调用，该调用创建虚拟内存以为下一阶段的恶意代码分配空间。在将代码加载到分配的内存空间后，预计会跳转到内存地址，从而进入恶意软件的下一阶段。

最终，通过 malloc 创建了另一个分配的内存空间，并且在分配的内存中明显可见文件名（input.exe）和 MZ（0x4D 0x5A）字符串。转储二进制文件导致提取出 Vidar Stealer。

有趣的是，Vidar Stealer 通过修改指向栈中 RtlUserThreadStart 地址的指针来执行，RtlUserThreadStart 是负责在用户模式下启动线程的关键函数。恶意软件不是允许正常执行，而是将 RtlUserThreadStart 重定向到 Vidar Stealer 二进制文件的入口点，从而有效地劫持执行流。

Vidar Stealer 的关键功能

我们对这一变种的分析未发现任何新行为或与之前观察到的版本的偏差。其功能、攻击模式和执行流程与早期样本一致，表明此迭代未进行重大修改或采用新策略。其主要负载行为如下：

• 凭据窃取：检查用户系统中的重要目录。从浏览器和应用程序中提取保存的用户名和密码。

• 加密货币钱包窃取：针对 Monero、BraveWallet 等钱包。

• 会话劫持：窃取会话令牌，允许攻击者绕过已知流行应用程序（如 Steam、Telegram、Discord 等）的身份验证。

• 云和存储数据窃取：从 Azure、AWS、WinScp、FileZilla 等服务中提取存储的凭据。

结论

Vidar Stealer 不断发展，使用新的分发方法和规避技术以保持持久威胁。最近对 BGInfo.exe 的滥用突显了攻击者如何在受信任的工具中伪装恶意软件以绕过安全措施。

这强调了持续威胁搜寻、主动监控和对看似无害的二进制文件进行深入分析的必要性。识别细微异常（如过期签名、意外的文件大小差异和异常内存行为）对于发现复杂的恶意软件活动至关重要。

MITRE TTP

• 伪装：无效代码签名 - T1036.001

• 伪装：匹配合法名称或位置 - T1036.005

• 混淆文件或信息：二进制填充 - T1027.001

• 来自本地系统的数据 - T1005

• 不安全凭据：文件中的凭据 - T1552.001

• 来自密码存储的凭据：来自 Web 浏览器的凭据 - T1555.003

• Web 协议 - T1071.001

• 通过 C2 通道外泄 - T1041

• 进程注入：线程执行劫持 - T1055.003

IOCs

7f59c7261ce53d72cafcba86c3a423f06922f1edb47b419b96d2944af3e7859d – Win32.Trojan-Stealer.VidarStealer. FO2EFU 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手