2026-yilda eng faol ma’lumot o‘g‘irlaydigan zararli dasturlardan biri bo‘lgan Vidar yangi va yanada xavfli shaklga o‘tdi. So‘nggi tahlillarga ko‘ra, ushbu malware endi ikkinchi bosqich payload’larini oddiy ko‘rinadigan JPEG rasm fayllari va TXT hujjatlar ichiga yashirib, aniqlanishdan samarali tarzda qochmoqda. Bu o‘zgarish zararli dastur qanday ishlashi va qurbonlarga qanday yetib borishini tubdan o‘zgartirib, global miqyosda xavfni oshirdi.
"Vidar endi oddiy credential stealer emas — u to‘liq ko‘p bosqichli infektsiya zanjirini xotira ichida bajaradi."
Ushbu malware ilk bor 2018-yilda Arkei framework asosida oddiy parol o‘g‘irlovchi sifatida paydo bo‘lgan edi. Ammo vaqt o‘tishi bilan u ancha rivojlanib, 2026-yilga kelib Malware-as-a-Service (MaaS) modeliga o‘tdi. Endi u ko‘p bosqichli hujumlarni qo‘llab-quvvatlaydi va hatto Telegram kabi platformalar orqali command-and-control (C2) operatsiyalarini amalga oshiradi. Eng xavfli jihati shundaki, u ko‘plab jarayonlarni to‘liq xotira ichida bajaradi va tizimda deyarli hech qanday iz qoldirmaydi.
Point Wild tarkibidagi Lat61 Threat Intelligence Team mutaxassislari ushbu yangi variantni aniqlab, 2026-yil 24-aprel kuni o‘z hisobotlarini e’lon qilishdi. Tadqiqotchilar Kedar Shashikant Pandit va Prathamesh Shingare infektsiya jarayonini boshidan oxirigacha o‘rganib chiqdi. Tahlil natijasida aniqlanishicha, Vidar ushbu variantda obfuskatsiya qilingan scriptlar, Windows’ning ishonchli utilitalari va executable bo‘lmagan fayl formatlari orqali yashirin tarzda ishlaydi.
Malware bir nechta usullar orqali tarqatiladi. Soxta GitHub repository’lar developer tool yoki crack qilingan dastur sifatida ko‘rsatiladi. Bundan tashqari, buzilgan WordPress saytlar va ClickFix deb ataluvchi soxta CAPTCHA sahifalari foydalanuvchini Windows buyruqlarini ishga tushirishga majbur qiladi. Gaming hamjamiyatlari ham nishonga olingan — GitHub, Discord va Reddit orqali tarqatilgan soxta cheat tool’lar orqali foydalanuvchilar xavfsizlikni e’tiborsiz qoldirishi mumkin.
"Vidar 200 dan ortiq browser extension’larni nishonga oladi, jumladan kripto hamyonlar va password manager’lar."
U MetaMask, Phantom, Coinbase Wallet kabi kripto hamyonlarni, shuningdek Bitwarden, LastPass va KeePass kabi parol menejerlarini nishonga oladi. Bu esa oddiy credential o‘g‘irlashdan ancha kengroq bo‘lib, moliyaviy yo‘qotishlar va katta hajmdagi ma’lumot sizib chiqishiga olib kelishi mumkin.
Infection Mechanism: How Vidar Executes Through Staged File Delivery
Hujum Go tilida yozilgan dropper orqali boshlanadi. Bu tanlov tasodifiy emas — Go malware bilan kam bog‘langanligi sababli ko‘plab xavfsizlik vositalarini chalg‘itadi.
.webp)
Dropper ishga tushgach, Windows Temp papkasiga ewccbqtllunx.vbs nomli VBScript faylini joylaydi.
.webp)
Ushbu script avval tizim sandbox’da ishlayotganini tekshiradi. Agar sandbox aniqlansa, darhol to‘xtaydi. Aks holda, u obfuskatsiya qilingan PowerShell buyruqni yaratadi va uni yashirin rejimda ishga tushiradi.
.webp)
PowerShell skripti esa 62.60.226.200 IP manziliga TLS 1.2 orqali ulanib, 160066.jpg nomli faylni yuklab oladi. Ushbu fayl oddiy rasmga o‘xshaydi, ammo uning ichida BASE64_START va BASE64_END markerlari orasida yashirilgan zararli kod mavjud.
Malware ushbu kodni ajratib olib, xotira ichida dekod qiladi va uni .NET assembly sifatida diskka yozmasdan ishga tushiradi. Keyingi bosqichda esa KGVn4OY.txt fayli yuklab olinadi. Bu fayl ichida teskari yozilgan va obfuskatsiya qilingan Base64 ma’lumot mavjud bo‘ladi. Malware uni qayta tiklab, yana xotira ichida ishga tushiradi.
Yakuniy payload esa 64-bit C++ dastur bo‘lib, u crypter bilan himoyalangan va Windows API chaqiruvlarini runtime vaqtida aniqlaydi, bu esa aniqlanishni yanada qiyinlashtiradi.
"Ushbu ko‘p bosqichli yashirin yuklash usuli Vidar’ni aniqlashni sezilarli darajada murakkablashtiradi."
Mutaxassislar quyidagi himoya choralarini tavsiya qilmoqda: tashqi IP manzillarga to‘g‘ridan-to‘g‘ri HTTP ulanishlarni bloklash, WScript va PowerShell jarayonlarini monitoring qilish, RegAsm.exe ishga tushirilishini cheklash va startup papkalarni muntazam tekshirish.
