Vidar Stealer : contournement de l'ABE via scan mémoire et injections APC

Tue, 23 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 18 juin 2026 par Vojtěch Krejsa, chercheur chez Gen Digital, cet article constitue une analyse technique approfondie du mécanisme de contournement de l’Application-Bound Encryption (ABE) implémenté dans le stealer Vidar, version 2.1.

🧩 Technique de bypass ABE

Vidar adopte une approche similaire à Remus/Lumma en extrayant la v20_master_key directement depuis la mémoire du navigateur, mais avec une méthode distincte en deux phases :

Phase 1 – Localisation de la clé en mémoire

Si le navigateur est déjà en cours d’exécution, Vidar crée un fork du processus via NtCreateProcessEx avec SectionHandle = NULL, produisant un snapshot mémoire statique (copy-on-write, sans threads).
Si aucun navigateur n’est actif, Vidar crée un bureau isolé (CreateDesktopA) nommé v20_%d et lance le navigateur avec --no-first-run --disable-gpu about:blank.
Jusqu’à 64 processus navigateur sont énumérés et traités indépendamment.
La mémoire est scannée via NtQueryVirtualMemory et NtReadVirtualMemory, ciblant les régions MEM_COMMIT, MEM_PRIVATE, PAGE_READONLY ou PAGE_READWRITE (jusqu’à 4096 régions).
Le scan parallèle (64 threads) recherche un pattern de 32 octets : 76 32 30 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 00 00 01 ?? ?? correspondant à un nœud de Chromium::Encryptor::KeyRing.
Un système de vote majoritaire filtre les candidats.

Phase 2 – Déchiffrement via injection APC

La clé est protégée par CryptProtectMemory avec le flag CRYPTPROTECTMEMORY_SAME_PROCESS, nécessitant une exécution depuis le processus navigateur.
Vidar sélectionne l’une de deux méthodes d’injection APC selon la présence d’ESET ou Bitdefender :
- Méthode « classic » (si ESET/Bitdefender détecté) : création d’un thread suspendu via CreateRemoteThread (start address NtTestAlert), queue APC via NtQueueApcThread, reprise du thread.
- Méthode « special » (sinon) : énumération des threads existants via CreateToolhelp32Snapshot/Thread32First/Thread32Next, ouverture via NtOpenThread, injection via NtQueueApcThreadEx2 avec QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC (exécution immédiate, sans état alertable requis).
La routine APC injectée est CryptUnprotectMemory appelée avec l’adresse candidate, taille 32 octets, et CRYPTPROTECTMEMORY_SAME_PROCESS.
Vidar crée un second fork pour lire la clé déchiffrée et vérifie via déchiffrement AES-256-GCM (BCryptDecrypt).
Après lecture, Vidar réinjecte CryptProtectMemory pour restaurer l’état du navigateur.
En cas d’échec total, Vidar termine tous les processus navigateur, les redémarre et répète le cycle.

📌 IoC

SHA1 Vidar 2.1 : 459daa809751e73f60fbbe4384a7d1653c36bb06945e4eb363527092424110a

📄 Nature de l’article

Il s’agit d’une publication de recherche technique à visée CTI, documentant précisément les mécanismes internes d’un stealer actif pour permettre la détection et la compréhension de ses techniques d’évasion.