GitHub e Reddit ospitano centinaia di repository e post che distribuiscono Vidar Stealer 2.0 camuffato da cheat gratuiti. Le vittime designate sono soprattutto i giovani gamer.
Autore: Redazione SecurityOpenLab
Centinaia di repository GitHub e post Reddit che pubblicizzano cheat gratuiti per i videogiochi più diffusi nascondono in realtà campagne di distribuzione di Vidar Stealer 2.0, una versione significativamente evoluta di uno degli infostealer più longevi in circolazione. A documentarlo è la Threat Research Unit di Acronis, che ha monitorato più campagne attive e ha rilevato che la crescita di Vidar 2.0 è direttamente collegata alle recenti operazioni delle Forze dell'Ordine contro Lumma e Rhadamanthys. Infatti, il colpo subìto dalle infrastrutture di questi due infostealer ha spostato la domanda criminale su alternative già consolidate come appunto Vidar.
Il contesto è quello dei videogame, e non è una novità: fin dagli albori del personal computing i cybercriminali hanno sempre sfruttato la passione dei videogamer per contenuti gratuiti o non autorizzati. Semplicemente le tecniche per approfittarne si sono evolute e l’applicazione contemporanea di questo schema sfrutta l'ecosistema dei cheat per i giochi online competitivi, che negli ultimi anni è esploso anche grazie a titoli come Fortnite e Call of Duty.
I giocatori che cercano cheat rappresentano un target ideale perché sono utenti abituati a scaricare software da fonti non ufficiali, perché sono fortemente incentivati a non segnalare eventuali incidenti alle autorità e perché gli stessi account di gioco possono avere un valore economico reale. L'offerta di cheat gratuiti abbassa ulteriormente le difese perché colpisce chi non può permettersi abbonamenti a pagamento, ossia bambini e adolescenti che hanno una minore consapevolezza dei rischi.
La prima campagna documentata sfrutta GitHub come piattaforma di distribuzione. I ricercatori hanno identificato centinaia di repository che ospitano link malevoli camuffati da cheat gratuiti, con una copertura a 360 gradi sui titoli online di rilievo. Secondo gli esperti di Acronis TRU il numero effettivo di repository coinvolti potrebbe essere nell'ordine delle migliaia, dato che gli attaccanti nascondono i link malevoli dietro immagini e li fanno transitare attraverso siti di terze parti per ostacolare la detection.
Il meccanismo sfrutta la reputazione di GitHub come piattaforma legittima: i repository ospitano landing page che rimandano a siti esterni controllati dagli attaccanti, dove la vittima segue istruzioni che sembrano legittime nel contesto di un cheat (disabilitare il software di sicurezza, estrarre archivi protetti da password e avviare eseguibili con privilegi di amministratore), ma che in realtà portano al download di un loader PowerShell.
All'avvio, il loader disattiva l’attività di Windows Defender su una directory controllata dagli attaccanti, contatta un URL da cui recupera dinamicamente l'indirizzo del payload di secondo stadio ospitato su GitHub, crea una directory, la nasconde e scarica il payload finale. Il payload viene eseguito come processo in background con privilegi elevati e si garantisce la persistenza attraverso un task pianificato che è configurato per attivarsi a ogni accesso dell'utente.
La seconda campagna utilizza post su Reddit che pubblicizzano cheat per Counter-Strike 2 per reindirizzare le vittime a siti che scaricano il malware. L'archivio che viene consegnato contiene un eseguibile di dimensioni insolitamente grandi, riconducibili a dati spazzatura aggiunti per rallentare l'analisi. L'eseguibile è un archivio autoestraente che estrae un cabinet file incorporato e lo esegue. Lo script che segue assembla vari file concatenando frammenti di file, fino a ottenere il payload Vidar 2.0, che viene poi eseguito.
Il payload in questione è in circolazione da ottobre 2025 e presenta novità tecniche sostanziali rispetto alle versioni antecedenti. La prima e più rilevante è la riscrittura completa del codice in linguaggio C, che ha consentito di migliorare stabilità e velocità e di eliminare gli artefatti statici tipici del linguaggio di programmazione C++. La seconda è l'introduzione di un builder polimorfico automatico che genera ogni build con una struttura del codice differente, per neutralizzare la detection basata su firme. La terza novità è l'esecuzione multithread: Vidar rileva le risorse hardware del sistema tramite API e adatta dinamicamente il numero di thread, scegliendo tra modalità I/O-bound su sistemi performanti, modalità automatica e modalità CPU-bound su sistemi con risorse limitate. Il risultato è una sottrazione di dati significativamente più rapida.
Vidar 2.0 applica tecniche di offuscamento del flusso di controllo a ogni funzione: il codice entra in cicli multipli, carica valori diversi nelle variabili e le confronta generando salti a sezioni diverse del codice. Così facendo, l'analisi manuale diventa estremamente laboriosa.
Le tecniche anti-analisi sono altrettanto articolate. All'avvio, il malware verifica se è in esecuzione sotto un debugger, poi effettua una verifica temporale per misurare il tempo trascorso durante un'attesa di 1.000 millisecondi e termina l'esecuzione se il delta supera i 1.051 millisecondi (un'anomalia tipica degli ambienti di debug). Infine, verifica la RAM disponibile per rilevare la presenza di macchine virtuali: se la memoria fisica è inferiore a 512 MB o compresa tra 512 MB e 2 GB, l'esecuzione si interrompe.
Per i browser basati su Chromium, Vidar 2.0 utilizza due metodi distinti per ottenere le chiavi di cifratura delle credenziali salvate. Il primo accede direttamente al file Local State e utilizza l'API CryptUnprotectData per decriptare la chiave di cifratura. Il secondo, attivabile da remoto tramite il server di comando e controllo, avvia il browser con una porta di debug abilitata in un desktop invisibile all'utente, estrae la chiave AES tramite un modulo apposito e attende i risultati attraverso una named pipe. Per Firefox, accede direttamente ai file logins.json, key4.db, cookies.sqlite, formhistory.sqlite e places.sqlite, che contengono credenziali cifrate, chiavi di sessione e cronologia.
L'infrastruttura di comando e controllo di Vidar 2.0 sfrutta Telegram e Steam per mascherare gli indirizzi dei server C2 effettivi. Il malware recupera il proprio indirizzo C2 leggendo il nome utente di un profilo Steam specifico, che contiene l'URL del server concatenato a una stringa identificativa. Questa tecnica permette agli operatori di cambiare l'infrastruttura C2 aggiornando il profilo Steam, senza modificare il campione.
I dati sottratti comprendono credenziali browser, cookie e dati di autofill dai browser, token Azure e cache MSAL, che espongono l’accesso alle sottoscrizioni, ai tenant e a vari servizi Microsoft. Vengono esfiltrati inoltre wallet Monero e estensioni browser per criptovalute, credenziali FTP e SSH, dati di Telegram (chiavi di autorizzazione cifrate, ID account, segreti di sessione), Discord (token di login estratti tramite la stessa tecnica dei browser Chromium) e Steam (SteamID, token di autenticazione, configurazione account); file dalle cartelle Desktop, Documenti e Download su drive fissi e rimovibili.
In molti casi il malware ha già esfiltrato i dati prima che la vittima si accorga di qualcosa perché agisce molto velocemente. E altrettanto spesso le credenziali sottratte vengono usate prima che possano essere invalidate.