Vidar Stealer olarak bilinen gelişmiş bilgi hırsızlığı yapan kötü amaçlı yazılım, 2.0 sürümünün piyasaya sürülmesiyle birlikte tam bir mimari dönüşüm geçirdi ve doğrudan bellek enjeksiyon teknikleri yoluyla Chrome’un en son güvenlik korumalarını atlamasını sağlayan gelişmiş yetenekler sundu.
6 Ekim 2025’te geliştiricisi “Loadbaks” tarafından yer altı forumlarında yayınlanan bu yeni yineleme, C++’tan saf C’ye tam bir yeniden yazma özelliği taşıyor ve veri sızdırma hızını ve kaçırma yeteneklerini önemli ölçüde artıran çok iş parçacıklı bir mimari uyguluyor.
Vidar 2.0’ın ortaya çıkışının zamanlaması, Lumma Stealer aktivitesinde dikkate değer bir düşüşle çakışıyor ve Vidar’ı bilgi hırsızı ekosisteminde potansiyel bir halef olarak konumlandırıyor.
Ömür boyu erişim için 300 ABD doları fiyatla fiyatlandırılan kötü amaçlı yazılım, siber suçlulara tarayıcılardan, kripto para cüzdanlarından, bulut hizmetlerinden, oyun platformlarından ve Discord ve Telegram gibi iletişim uygulamalarındaki kimlik bilgilerini sistematik olarak hedefleyebilen uygun maliyetli ancak güçlü bir araç seti sunuyor.
Kötü amaçlı yazılımın geliştirilmiş anti-analiz önlemleri ve gelişmiş kimlik bilgisi çıkarma yöntemleri, bilgi hırsızlığı tehdidi ortamında endişe verici bir evrimi temsil ediyor.
.webp)
Vidar ilk olarak 2018 yılında Rusça yeraltı forumlarında ortaya çıktı ve başlangıçta Arkei hırsızının kaynak kodundan yararlandı.
Yıllar geçtikçe yeni tarayıcıları, cüzdanları ve iki faktörlü kimlik doğrulama uygulamalarını destekleyen tutarlı güncellemeler sayesinde kendisini Raccoon ve RedLine gibi rakiplerinden ayırdı.
Trend Micro analistleri, en son sürümün dört önemli mimari değişiklik getirdiğini belirledi: gelişmiş kararlılık ve hız için eksiksiz bir C dili yeniden yazma, kurban bilgisayarın özelliklerine göre dinamik olarak ölçeklenen çok iş parçacıklı bir sistem, gelişmiş tarayıcı kimlik bilgisi çıkarma yetenekleri ve her yapı için benzersiz ikili imzalar üreten otomatik bir polimorfik oluşturucu.
Çok iş parçacıklı mimari, Vidar 2.0’ın en önemli geliştirmelerinden birini temsil ediyor ve kötü amaçlı yazılımın birden fazla paralel iş parçacığı üzerinden veri toplama görevlerini gerçekleştirmesine olanak tanıyor.
Bu sistem, güçlü sistemlerde daha fazla çalışan iş parçacığı ve daha zayıf makinelerde daha az iş parçacığı oluşturarak performansı otomatik olarak ayarlar ve hedefi bunaltmadan en iyi çalışmayı sağlar.
Paralel işleme, kötü amaçlı yazılımın güvenliği ihlal edilmiş sistemlerde etkin kalması için gereken süreyi önemli ölçüde azaltır ve güvenlik yazılımı tarafından tespit edilmesini ve müdahale edilmesini önemli ölçüde zorlaştırır.
Chrome Uygulamaya Bağlı Şifrelemenin Bellek Eklemeyle Atlanması
Vidar 2.0’ın en dikkate değer teknik başarısı, Chrome’un AppBound şifreleme korumalarını gelişmiş bellek enjeksiyon teknikleri yoluyla aşma yeteneğidir.
Geliştiriciye göre kötü amaçlı yazılım, özellikle Chrome’un, şifreleme anahtarlarını belirli uygulamalara bağlayarak yetkisiz kimlik bilgilerinin çıkarılmasını önlemek üzere tasarlanmış gelişmiş güvenlik önlemlerini hedef alarak “kamuya açık alanda bulunmayan benzersiz appBound yöntemleri uyguladı”.
Bu, Chrome’un kullanıcı kimlik bilgilerini bilgi hırsızlarından korumayı amaçlayan en son güvenlik geliştirmelerine karşı doğrudan bir meydan okumayı temsil ediyor.
Kötü amaçlı yazılım, başlangıçta tarayıcı profillerinin sistematik olarak numaralandırılması ve standart DPAPI şifre çözme yöntemi kullanılarak Yerel Durum dosyalarından şifreleme anahtarlarının çıkarılması gibi geleneksel yöntemleri deneyerek, tarayıcı kimlik bilgilerinin çıkarılmasına yönelik katmanlı bir yaklaşım kullanıyor.
Bu geleneksel teknikler Chrome’un AppBound şifrelemesine karşı başarısız olduğunda Vidar 2.0, hedef tarayıcıları hata ayıklama etkinken başlatan ve kabuk kodu veya yansıtıcı DLL enjeksiyonu kullanarak kötü amaçlı kodu doğrudan çalışan tarayıcı işlemlerine enjekte eden gelişmiş bir tekniğe yükselir.
.webp)
Enjekte edilen veri tamamen tarayıcı belleği içinde çalışır ve şifreleme anahtarlarını depolama alanından şifresini çözmeye çalışmak yerine doğrudan aktif işlem adres alanından çıkarır.
Bu bellek tabanlı yaklaşım, Chrome’un AppBound şifrelemesini etkili bir şekilde aşıyor çünkü zaten şifresi çözülmüş ve meşru tarayıcı işlemi tarafından kullanılan anahtarları çalıyor.
Çalınan şifreleme anahtarları daha sonra adlandırılmış kanallar aracılığıyla ana kötü amaçlı yazılım sürecine geri iletilir; bu teknik, adli analiz veya güvenlik yazılımı tarafından tespit edilebilecek disk yapıtlarının oluşmasını önleyen bir tekniktir.
Hem geleneksel tarayıcı depolama yöntemlerini hem de Chrome, Firefox, Edge ve diğer Chromium tabanlı tarayıcılar dahil birden fazla tarayıcı platformunda Chrome’un en yeni korumalarını hedefleyen bu çift yönlü çıkarma stratejisi, kötü amaçlı yazılımın kimlik bilgisi hırsızlığına yönelik kapsamlı yaklaşımını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
