🔍 Contexte

Publié le 24 mars 2026 par Acronis Threat Research Unit (TRU), cet article présente une analyse technique approfondie de campagnes de distribution du malware Vidar Stealer 2.0 via de faux outils de triche pour jeux vidéo, hébergés principalement sur GitHub et promus sur Reddit.

🎯 Vecteur d’infection et ciblage

Les attaquants exploitent les communautés de joueurs cherchant des cheats gratuits (aimbots, wallhacks, etc.) sur Discord, Reddit et GitHub. Les victimes sont incitées à :

  • Désactiver leurs logiciels de sécurité
  • Extraire des archives protégées par mot de passe
  • Exécuter des binaires avec des privilèges administrateur

Les cibles incluent des joueurs de Fortnite, Call of Duty, Valorant, Counter-Strike 2 et d’autres titres majeurs. Les mineurs et jeunes adultes sont particulièrement exposés.

🔗 Chaîne d’infection

Campagne GitHub :

  1. Dépôts GitHub hébergeant des pages de landing malveillantes
  2. Téléchargement de TempSpoofer.exe, Monotone.exe ou CFXBypass.exe (scripts PowerShell compilés en binaires .NET via PS2EXE)
  3. Le loader PowerShell ajoute une exclusion Windows Defender, contacte un Pastebin pour récupérer une URL GitHub secondaire
  4. Téléchargement de background.exe (Vidar 2.0 packé avec Themida)
  5. Persistance via une tâche planifiée nommée SystemBackgroundUpdate

Campagne Reddit (CS2) :

  1. Posts Reddit redirigeant vers un site de téléchargement
  2. Archive EzFrags_Private.zip contenant un loader SFX avec signature invalide
  3. Extraction d’un cabinet embarqué, exécution via Perfume.mdb
  4. Construction d’un interpréteur AutoIt (Typically.com) et du payload Vidar 2.0 (L)

🦠 Vidar Stealer 2.0 — Évolutions techniques

  • Réécriture complète de C++ vers C (meilleure stabilité et vitesse)
  • Morpheur automatique : chaque build est structurellement différent (contournement des signatures)
  • Exécution multithreadée : vol de données en parallèle
  • Anti-analyse : IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess, timing checks, détection VM (RAM < 512 MB → arrêt)
  • Obfuscation : control flow flattening dans chaque fonction
  • C2 via Dead Drop Resolvers : profils Telegram et Steam pour masquer l’adresse du serveur C2

📦 Capacités de vol

  • Credentials navigateurs, cookies, autofill (Chromium via CryptUnprotectData + injection DLL réflective ; Firefox via logins.json, key4.db, etc.)
  • Tokens Azure (accessTokens.json, azureProfile.json, msal.cache)
  • Portefeuilles crypto (Monero, extensions navigateur)
  • Credentials FTP/SSH (WinSCP, FileZilla)
  • Données Telegram, Discord, Steam
  • Fichiers locaux (Desktop, Documents, Downloads)
  • Captures d’écran (GDI, sauvegardées en screenshot.jpg)

📊 Contexte threat landscape

L’adoption de Vidar 2.0 est directement liée aux actions des forces de l’ordre contre Lummastealer et Rhadamanthys. Vidar, actif depuis 2018 (fork d’Arkei), opère en MaaS (130–750 USD/abonnement). La version 2.0 a été annoncée en octobre 2025 sur un forum underground.

📄 Type d’article

Il s’agit d’une analyse technique publiée par Acronis TRU, visant à documenter les TTPs, la chaîne d’infection et les capacités techniques de Vidar 2.0, et à fournir des IOCs exploitables pour la détection.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1055 — Process Injection (Defense Evasion)
  • T1055.001 — Process Injection: Dynamic-link Library Injection (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
  • T1102 — Web Service (Command and Control)
  • T1102.001 — Web Service: Dead Drop Resolver (Command and Control)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1113 — Screen Capture (Collection)
  • T1005 — Data from Local System (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1134.002 — Access Token Manipulation: Create Process with Token (Privilege Escalation)
  • T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)

IOC

  • Domaines : telegram.me
  • Domaines : steamcommunity.com
  • Domaines : pastebin.com
  • URLs : https://telegram.me/bul33bt
  • URLs : https://telegram.me/cego54
  • URLs : https://telegram.me/ahnadar
  • URLs : https://steamcommunity.com/profiles/76561198765046918
  • URLs : https://steamcommunity.com/profiles/76561198761022496
  • URLs : https://steamcommunity.com/profiles/76561198780411257
  • SHA256 : 2f416aac027f19f563cc45e3b4b72e992aaafb63da27f968b9a76a391134dc7d
  • SHA256 : b1cebd305c6aa27048a3673e70f8e1604735b2c06c83452d2935c330b5a3eb58
  • SHA256 : b6192c05029c8905fcbb88469d712dfdeaf1feb33b0690f8539373f19b6cbf85
  • SHA256 : fa7eafa65996c325faf2d77cc2d80179daa9228b3c138d2d3365280c79e30820
  • SHA256 : cbf2218ce316134795c75691f17dfaf02071ff5c369049fbf11ed072cf2103ab
  • SHA256 : c5e7fab18baee4a6b092e566414f4d2df1afbde35a1d12f518113054f144853f
  • SHA256 : 4a090e26e285661730dfd0911856c830bd0a44e639237178476ccb4993d7974f
  • SHA256 : e1979c42cb9e72ba9f9fcae7364887df1edcad38128feefdc3adbc768c51da05
  • SHA256 : d1721c9adcfa3d16bb4907afccfae64517e6c58a7c6ef058c9f5f543f60240c9
  • SHA256 : d1258b4c2b9849833651d1e844d1a99a5bc7febbb751548f960e92525afe6c26
  • SHA256 : bfee57d9e1b68c5c5aa63792b4e67b94f3361749e186531bd01609d9382672f3
  • SHA256 : 496d15810c25136955dd9aed6d018519380ee431f28c1bca715da59fe1385d12
  • Fichiers : TempSpoofer.exe
  • Fichiers : Monotone.exe
  • Fichiers : CFXBypass.exe
  • Fichiers : background.exe
  • Fichiers : EzFrags_Private.zip
  • Fichiers : Perfume.mdb
  • Fichiers : Typically.com
  • Fichiers : screenshot.jpg
  • Fichiers : logins.json
  • Fichiers : key4.db
  • Fichiers : cookies.sqlite
  • Fichiers : formhistory.sqlite
  • Fichiers : places.sqlite
  • Fichiers : accessTokens.json
  • Fichiers : azureProfile.json
  • Fichiers : recentservers.xml
  • Chemins : C:\ProgramData\
  • Chemins : %AppData%\Telegram Desktop\tdata\
  • Chemins : \\pipe\\test

Malware / Outils

  • Vidar Stealer 2.0 (stealer)
  • Lummastealer (stealer)
  • Rhadamanthys (stealer)
  • PS2EXE (tool)
  • Themida (tool)
  • AutoIt (tool)

🔗 Source originale : https://www.acronis.com/en/tru/posts/vidar-stealer-20-distributed-via-fake-game-cheats-on-github-and-reddit/