Acronis, en global ledare inom cyberförsvar, publicerar idag ny hotforskning från sin Threat Research Unit (TRU) som avslöjar en storskalig skadlig kampanj.
Kampanjen distribuerar Vidar Stealer 2.0 via falska fusk-verktyg för datorspel på GitHub och Reddit, och riktar sig mot gaming communities för nästan samtliga stora onlinespel. Det är också en av de första bekräftade observationerna av Vidar 2.0 i verkliga angrepp.
TRU-teamet har identifierat hundratals GitHub-arkiv som används som distributionspunkter för skadlig kod. Forskarna bedömer att det verkliga antalet kan uppgå till tusentals. Angriparna döljer skadliga länkar bakom bilder och leder offren via tredjepartssajter för att undvika upptäckt – en taktik som gör systematisk kartläggning svår.
”Tidpunkten för Vidar 2.0:s uppgång är betydelsefull. Nyliga polisinsatser har slagit ut infrastrukturen bakom Lummastealer och Rhadamanthys – två av de tidigare dominerande infostealer-programmen – och skapat ett vakuum som Vidar snabbt har fyllt. Detta visar hur brottsbekämpande åtgärder omformar hotlandskapet: den kriminella efterfrågan migrerar helt enkelt. Försvarare måste hålla sig vaksamma och välinformerade.”, konstaterar forskarna.
En tekniskt avancerad evolution
Vidar 2.0 är ett betydande tekniskt kliv jämfört med föregångaren. Programmet har skrivits om fullständigt från C++ till C och har fått polymorfa byggegenskaper, flertrådad exekvering och avancerade anti-analysfunktioner – inklusive debugger-detektion, tidsstyrda kontroller och detektering av virtuella maskiner. Kommando-och-kontroll-infrastrukturen döljs via Telegram-bottar och Steam-profiler som används som så kallade dead drop resolvers, vilket gör att programmet hinner genomföra sitt uppdrag innan offret ens anar att något är fel.
Programmet kan hämta ut inloggningsuppgifter, kakor och autofyll-data från webbläsare, Azure-token, kryptovalutaplånböcker, FTP- och SSH-uppgifter, Telegram- och Discord-sessionsdata, Steam-kontofiler samt lokala dokument. Webbläsarkapning stöds för både Chromium-baserade webbläsare och Firefox.
Varför gamers är ett idealiskt mål
Forskningen belyser varför gaming-gemenskapen är särskilt sårbar. Användare som söker fusk är vana vid att ladda ner från inofficiella källor och att mötas av säkerhetsvarningar – något som sänker vaksamheten. Komprometterade spelkonton har verkligt ekonomiskt värde tack vare sällsynta föremål och spelvaluta, och kan omvandlas till pengar via gråmarknader med minimal risk för angriparen. Avgörande är att löftet om gratis fusk i särskilt hög grad lockar yngre användare – något som väcker oro för att minderåriga kan vara bland de mest drabbade offren i dessa kampanjer.
”Vidar 2.0 är snabbare, mer svårspårad och svårare att upptäcka än någonting vi tidigare sett från den här familjen. Genom att utnyttja betrodda plattformar som GitHub och Reddit kringgår angriparna konventionella säkerhetsantaganden. Gaming communityn – inklusive unga spelare – utpekas aktivt som mål, och organisationer måste säkerställa att deras säkerhetsställning hanterar den mänskliga faktorn lika väl som de tekniska kontrollerna.”
– Acronis Threat Research Unit
Rekommendationer
Acronis rekommenderar att organisationer infor modern slutpunktsskydd eller EDR-lösningar med både beteende- och signaturbaserad detektion, håller alla system och applikationer fullt uppdaterade, implementerar exekveringskontrollpolicyer för icke-standardkataloger samt utbildar användare om riskerna med att ladda ner programvara från inofficiella källor.
Den fullständiga forskningsrapporten, inklusive tekniska indikatorer på intrång (IOC:er), YARA-regler för detektion och en detaljerad analys av Vidar 2.0:s infektionskedjor, finns tillgänglig på acronis.com.
Om Acronis
Acronis kombinerar dataskydd och cybersäkerhet i ett integrerat och automatiserat cyberförsvar som löser tidens säkerhetsutmaningar. Med flexibla driftsmodeller för tjänsteleverantörer och IT-proffs erbjuder Acronis nästegenerationens antivirus, säkerhetskopiering, katastrofhantering och slutpunktshantering. Med prisbelönta AI-baserade antimalware-funktioner och blockkedjebaserad dataidentifiering skyddar Acronis miljöer från moln till hybridlösningar och lokala installationer. Acronis är ett schweiziskt företag grundat i Singapore 2003, med 15+ års innovation, 750 000+ tjänsteleverantörspartner och 5,5+ miljoner företagskunder.
