Vidar Stealer : contournement de l'ABE via scan mémoire et injections APC

🔍 Contexte PubliĂ© le 18 juin 2026 par Vojtěch Krejsa, chercheur chez Gen Digital, cet article constitue une analyse technique approfondie du mĂ©canisme de contournement de l’Application-Bound Encryption (ABE) implĂ©mentĂ© dans le stealer Vidar, version 2.1. đŸ§© Technique de bypass ABE Vidar adopte une approche similaire Ă  Remus/Lumma en extrayant la v20_master_key directement depuis la mĂ©moire du navigateur, mais avec une mĂ©thode distincte en deux phases : Phase 1 – Localisation de la clĂ© en mĂ©moire Si le navigateur est dĂ©jĂ  en cours d’exĂ©cution, Vidar crĂ©e un fork du processus via NtCreateProcessEx avec SectionHandle = NULL, produisant un snapshot mĂ©moire statique (copy-on-write, sans threads). Si aucun navigateur n’est actif, Vidar crĂ©e un bureau isolĂ© (CreateDesktopA) nommĂ© v20_%d et lance le navigateur avec --no-first-run --disable-gpu about:blank. Jusqu’à 64 processus navigateur sont Ă©numĂ©rĂ©s et traitĂ©s indĂ©pendamment. La mĂ©moire est scannĂ©e via NtQueryVirtualMemory et NtReadVirtualMemory, ciblant les rĂ©gions MEM_COMMIT, MEM_PRIVATE, PAGE_READONLY ou PAGE_READWRITE (jusqu’à 4096 rĂ©gions). Le scan parallĂšle (64 threads) recherche un pattern de 32 octets : 76 32 30 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 00 00 01 ?? ?? correspondant Ă  un nƓud de Chromium::Encryptor::KeyRing. Un systĂšme de vote majoritaire filtre les candidats. Phase 2 – DĂ©chiffrement via injection APC La clĂ© est protĂ©gĂ©e par CryptProtectMemory avec le flag CRYPTPROTECTMEMORY_SAME_PROCESS, nĂ©cessitant une exĂ©cution depuis le processus navigateur. Vidar sĂ©lectionne l’une de deux mĂ©thodes d’injection APC selon la prĂ©sence d’ESET ou Bitdefender : MĂ©thode « classic » (si ESET/Bitdefender dĂ©tectĂ©) : crĂ©ation d’un thread suspendu via CreateRemoteThread (start address NtTestAlert), queue APC via NtQueueApcThread, reprise du thread. MĂ©thode « special » (sinon) : Ă©numĂ©ration des threads existants via CreateToolhelp32Snapshot/Thread32First/Thread32Next, ouverture via NtOpenThread, injection via NtQueueApcThreadEx2 avec QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC (exĂ©cution immĂ©diate, sans Ă©tat alertable requis). La routine APC injectĂ©e est CryptUnprotectMemory appelĂ©e avec l’adresse candidate, taille 32 octets, et CRYPTPROTECTMEMORY_SAME_PROCESS. Vidar crĂ©e un second fork pour lire la clĂ© dĂ©chiffrĂ©e et vĂ©rifie via dĂ©chiffrement AES-256-GCM (BCryptDecrypt). AprĂšs lecture, Vidar rĂ©injecte CryptProtectMemory pour restaurer l’état du navigateur. En cas d’échec total, Vidar termine tous les processus navigateur, les redĂ©marre et rĂ©pĂšte le cycle. 📌 IoC SHA1 Vidar 2.1 : 459daa809751e73f60fbbe4384a7d1653c36bb06945e4eb363527092424110a 📄 Nature de l’article Il s’agit d’une publication de recherche technique Ă  visĂ©e CTI, documentant prĂ©cisĂ©ment les mĂ©canismes internes d’un stealer actif pour permettre la dĂ©tection et la comprĂ©hension de ses techniques d’évasion. ...

23 juin 2026 Â· 3 min

Dizaines de fonds d'écran malveillants sur Steam Workshop : comptes de joueurs compromis

đŸ—“ïž Source : Securelist (Kaspersky) — Publication le 16 juin 2026, auteurs : Maxim Starodubov et Denis Brylev. Contexte Depuis fin 2025 (et confirmĂ© dĂšs aoĂ»t 2025 selon la mise Ă  jour du 17 juin), des acteurs malveillants exploitent Steam Workshop et l’application Wallpaper Engine pour distribuer des malwares Ă  grande Ă©chelle. Des dizaines de fonds d’écran malveillants ont Ă©tĂ© identifiĂ©s, chacun ayant Ă©tĂ© tĂ©lĂ©chargĂ© des milliers Ă  des dizaines de milliers de fois. ...

21 juin 2026 Â· 4 min

ErrTraffic : analyse d'un framework ClickFix MaaS exploitant EtherHiding sur WordPress

🔍 Contexte PubliĂ© le 16 juin 2026 par Sekoia TDR (Jeremy Scion et Quentin Bourgue), cet article est la version publique d’un rapport privĂ© distribuĂ© aux clients le 2 juin 2026. Il documente en profondeur le framework ErrTraffic, un outil de distribution de malwares opĂ©rĂ© sous modĂšle Malware-as-a-Service (MaaS). đŸ§© Description du framework ErrTraffic ErrTraffic est un framework JavaScript injectĂ© dans des sites WordPress compromis pour afficher des leurres ClickFix (faux BSOD, reCAPTCHA, Cloudflare Turnstile) et distribuer des malwares aux visiteurs. Il intĂšgre un Traffic Distribution System (TDS) avec : ...

17 juin 2026 Â· 5 min

GoFlateLoader : un loader Go répandu livrant plusieurs infostealers via overlay PE gonflé

📅 Source : Gen Digital Blog (gendigital.com), publiĂ© le 10 juin 2026, par Vojtěch Krejsa, Threat Researcher at Gen. Contexte GoFlateLoader est un loader Ă©crit en Go (Golang), suivi activement par Gen Threat Labs depuis dĂ©but avril 2026. MalgrĂ© une conception technique simple, il est largement distribuĂ© : plus de 33 000 utilisateurs uniques ont Ă©tĂ© protĂ©gĂ©s depuis avril 2026, principalement au BrĂ©sil, Inde, Argentine, Mexique, Turquie et Espagne. MĂ©canisme technique Le loader rĂ©alise un chargement manuel de PE en mĂ©moire selon le flux suivant : ...

13 juin 2026 Â· 3 min

Les infostealers redéfinissent la surface d'attaque : 11,1 millions d'appareils compromis en 2025

🌐 Contexte PubliĂ© le 10 juin 2026 par Flashpoint sur son blog officiel, cet article accompagne la sortie d’un guide intitulĂ© Identity Is the New Attack Surface: A Guide to Infostealers and Proactive Defense. Il s’appuie sur les donnĂ©es de la Primary Source Collection (PSC) de Flashpoint et sur le rapport 2026 Global Threat Intelligence Report. 📊 Chiffres clĂ©s 11,1 millions d’appareils infectĂ©s par des infostealers au cours de la derniĂšre annĂ©e 3,3 milliards de credentials, cookies de session, tokens cloud et artefacts d’identitĂ© en circulation sur les marchĂ©s illicites 30+ souches d’infostealers actives identifiĂ©es dans les Ă©cosystĂšmes underground 48+ milliards de credentials dans la base de donnĂ©es Flashpoint, dont plus d’1 milliard liĂ©s Ă  des infostealers 4,2% des credentials exposĂ©s via infostealers sont associĂ©s Ă  des cookies de navigateur pouvant faciliter le dĂ©tournement de session Une base de donnĂ©es publiquement exposĂ©e dĂ©but 2026 contenait plus de 149 millions de credentials volĂ©s 🩠 Familles de malwares identifiĂ©es Flashpoint identifie les souches d’infostealers les plus actives : ...

13 juin 2026 Â· 3 min

Fox Tempest : démantÚlement d'un service de signature de malwares (MSaaS) par Microsoft

🔍 Contexte Le 19 mai 2026, Microsoft Threat Intelligence publie une analyse dĂ©taillĂ©e sur Fox Tempest, un acteur cybercriminel Ă  motivation financiĂšre opĂ©rant un service de signature de malwares Ă  la demande (Malware Signing-as-a-Service, MSaaS). En mai 2026, la Digital Crimes Unit (DCU) de Microsoft, avec le soutien de partenaires industriels, a procĂ©dĂ© au dĂ©mantĂšlement de l’infrastructure de ce service. 🎯 RĂŽle et impact de Fox Tempest Fox Tempest ne cible pas directement des victimes mais fournit une infrastructure de support Ă  d’autres groupes cybercriminels. Microsoft suit cet acteur depuis septembre 2025. Les groupes ayant utilisĂ© ses services incluent : ...

19 mai 2026 Â· 4 min

Lumen 2026 Defender Threatscape Report : montée en puissance des botnets et proxies malveillants

🌐 Contexte PubliĂ© le 7 avril 2026 par Lumen Technologies (source : ir.lumen.com), ce rapport annuel « Defender Threatscape 2026 » est produit par Black Lotus Labs, la division de recherche et d’opĂ©rations sur les menaces de Lumen. Il s’appuie sur une visibilitĂ© backbone couvrant 99% des adresses IPv4 publiques, avec monitoring quotidien de plus de 200 milliards de sessions NetFlow et requĂȘtes DNS, 2,3 millions de menaces uniques et 46 000 C2 suivis chaque jour. ...

11 avril 2026 Â· 7 min

MUT-4831: des paquets npm piĂ©gĂ©s livrent le voleur d’informations Vidar

Selon Datadog Security Labs, une campagne suivie sous l’identifiant MUT-4831 a introduit 17 paquets npm (23 versions) trojanisĂ©s qui exĂ©cutent un tĂ©lĂ©chargeur lors du postinstall et livrent le malware Vidar sur des systĂšmes Windows. DĂ©couverte et pĂ©rimĂštre: GuardDog (analyse statique) a dĂ©tectĂ© le 21 octobre 2025 le paquet custom-tg-bot-plan@1.0.1 avec des indicateurs clĂ©s dont un script “postinstall”. Au total, 17 paquets distribuĂ©s en deux salves (21–22 et 26 octobre) affichaient des indices similaires, se faisant passer pour des helpers Telegram, bibliothĂšques d’icĂŽnes ou des forks lĂ©gitimes (p. ex. Cursor, React). Les paquets ont Ă©tĂ© publiĂ©s par deux comptes npm rĂ©cemment créés (aartje, salii i229911), depuis bannis; ils sont restĂ©s en ligne environ deux semaines et ont cumulĂ© au moins 2 240 tĂ©lĂ©chargements (dont des scrapers), avec un pic Ă  503 tĂ©lĂ©chargements uniques pour react-icon-pkg. ...

12 novembre 2025 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝