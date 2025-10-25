I ricercatori di Trend Micro hanno individuato una nuova versione di un malware molto utilizzato dai cybercriminali. Vidar Stealer 2.0 è stato rilasciato il 6 ottobre dal suo sviluppatore (Loadbaks) su un forum nel dark web. Il codice è stato riscritto per offrire maggiori prestazioni e sono state aggiunte funzionalità più avanzate.

Novità di Vidar Stealer 2.0

Le aziende introducono nuove soluzioni per rilevare e bloccare gli attacchi informatici. I cybercriminali aggiornano quindi i malware per cercare di aggirare queste protezioni aggiuntive. Le novità principale di Vidar 2.0 sono quattro. La prima è rappresentata dalla riscrittura del codice in linguaggio C (invece del linguaggio C++). Ciò ha permesso di incrementare stabilità e prestazioni.

La nuova versione supporta il multithreading. Sfrutta quindi i moderni processori multi-core per eseguire le attività in parallelo. Raccolta ed esfiltrazione dei dati avviene più velocemente, quindi si riducono tempo di esecuzione e probabilità di essere rilevato dalle soluzioni di sicurezza.

Vidar 2.0 include inoltre nuove tecniche di estrazione delle credenziali dai principali browser e può aggirare la protezione app-bound (crittografia) introdotta da Google nelle recenti versioni di Chrome. È stata infine implementata una tecnica di evasione attraverso il polimorfismo (ogni build è diversa dall’altra).

La sequenza delle operazioni è stata ottimizzata per rubare il maggior numero di dati nel minor tempo possibile. Dopo aver raccolto tutte le informazioni necessarie inizia la fase di esfiltrazione. Vidar 2.0 può rubare dati dai browser (password, numeri carte di credito, cookie, cronologia), credenziali dei wallet di criptovalute, credenziali cloud (Azure, AWS), credenziali FTP/SSH, dati da Telegram, Steam e Discord.

Può anche rubare file e catturare screenshot. Tutti i dati vengono quindi inviati all’infrastruttura C&C (command and control) che include profili Steam e bot Telegram. Al termine, Vidar 2.0 effettua una pulizia del sistema per eliminare le tracce. Il malware è in circolazione dal 2018. Con la nuova versione diventerà probabilmente l’infostealer più utilizzato, prendendo il posto dell’attuale leader Lumma Stealer.