Security

Vidar Stealer 2.0: Infostealer Versi Baru Ditulis Ulang, Mencuri Data Lebih Cepat dan Lebih Sulit Dideteksi

October 22, 2025
3 minutes read

Pembuat malware Vidar Stealer merilis versi mayor 2.0 yang mengubah karakter operasi infostealer populer itu secara substansial. Versi terbaru — yang menurut analisis teknis telah ditulis ulang ke bahasa C — menghadirkan arsitektur multi-thread, teknik evasi yang lebih agresif, serta kemampuan untuk menguras banyak sumber data krusial dari perangkat korban. Para peneliti keamanan memperingatkan kenaikan potensi infeksi dan dampak yang lebih luas akibat peningkatan fitur ini.

Perubahan teknis besar: performa, paralelisasi, dan footprint kecil

Vidar 2.0 bukan sekadar pembaruan fitur — malware ini dirombak dari C++ ke C untuk menurunkan ketergantungan pustaka, memperkecil jejak binari, dan meningkatkan kinerja mentah. Arsitektur baru memanfaatkan multi-threading sehingga pekerja pencuri data dapat berjalan paralel, mempercepat pengumpulan bukti (credentials, cookie, wallet, dan lain-lain) serta mengurangi waktu tinggal (dwell time) di sistem korban. Perombakan ini membuat operasi lebih cepat dan lebih efisien dalam kampanye skala besar.

Evasion dan bypass proteksi browser modern

Satu kemajuan yang paling mengkhawatirkan adalah teknik pengambilan kunci enkripsi dari memori browser. Vidar 2.0 mengandalkan injeksi ke proses browser yang berjalan—baik melalui shellcode maupun reflektif DLL—untuk mengekstrak kunci enkripsi yang disimpan di memori, lalu mengirimkan kunci itu kembali ke proses utama malware lewat named pipe. Pendekatan ini memungkinkan pencuri melewati proteksi seperti AppBound/Chrome protections yang sebelumnya mengandalkan enkripsi pada penyimpanan lokal. Cara ini juga mengurangi jejak di disk sehingga deteksi tradisional menjadi lebih sulit.

Target data jauh lebih luas dan metode exfiltrasi beragam

Vidar 2.0 dirancang untuk menyasar beragam sumber data: cookies dan autofill browser, ekstensi dan aplikasi dompet kripto, kredensial cloud, akun gaming (Steam), serta data aplikasi perpesanan seperti Telegram dan Discord. Setelah pengumpulan, malware mengambil screenshot, mengemas semua bukti, dan mengirimkannya ke titik tujuan yang bervariasi — termasuk bot Telegram dan URL yang bahkan dipetakan melalui profil Steam. Rangkaian ini menunjukkan fokus pelaku pada monetisasi cepat data curian melalui pasar kredensial dan layanan pemerasan.

Fitur anti-analisis dan builder polymorphism

Versi 2.0 menambahkan serangkaian pemeriksaan anti-analisis (debugger detection, pengecekan timing, pemeriksaan uptime, dan profiling hardware) serta opsi builder yang menawarkan polimorfisme: flattening alur kontrol dan state-machine numerik yang menyulitkan analisis statis dan deteksi berbasis signature. Kombinasi ini mempersulit deteksi oleh produk keamanan statis dan menambah beban bagi analisis forensik.

Mengapa Vidar 2.0 bisa meningkat popularitasnya sekarang

Menurut peneliti, rilisan ini muncul di saat aktivitas Lumma Stealer melambat menyusul gangguan operasi pada pelakunya; pasar kriminal cenderung menampung alternatif teknis kuat. Dengan rekam jejak pengembang Vidar sejak 2018 dan model Malware-as-a-Service (MaaS) yang kompetitif, Vidar 2.0 berpotensi diadopsi lebih luas—mendorong lonjakan serangan infostealer pada kuartal berikutnya.

Vektor distribusi yang mungkin dipakai pelaku

Seperti variasi infostealer lain, metode distribusi yang realistis meliputi phishing, pemalsuan builds aplikasi/game, repositori yang teracuni, paket bajakan, atau kampanye ClickFix dan media sosial yang menipu pengguna agar mengeksekusi skrip berbahaya. Karena Vidar kini mampu mengelabui proteksi browser modern, vektor yang sebelumnya dianggap relatif “aman” menjadi kembali berisiko.

Rekomendasi praktis untuk organisasi dan pengguna akhir

  1. Perkuat deteksi endpoint: pastikan EDR/antivirus diperbarui dan memakai teknik behavior analysis — signature saja tidak cukup.
  2. Batasi hak istimewa: Terapkan prinsip least privilege; jalankan browser dan aplikasi penting dalam konteks yang tersegmen.
  3. Proteksi memori kritis: gunakan solusi keamanan yang memantau injeksi proses dan akses memori mencurigakan.
  4. Awasi eksfiltrasi anomali: monitor outbound traffic yang tidak biasa, terutama koneksi ke layanan Telegram, URL tidak dikenal, atau profil Steam yang dipakai untuk C2.
  5. Pendidikan pengguna: latih staf untuk mengenali phishing, unduhan tidak resmi, dan praktik instalasi yang aman — sebagian besar infostealer masih menyebar lewat rekayasa sosial.
  6. Rotasi kredensial & MFA: jika kompromi terdeteksi, putar segera kata sandi dan aktifkan otentikasi multifaktor pada layanan penting.

Kesimpulan

Vidar 2.0 merupakan evolusi teknis signifikan yang mengubah lanskap infostealer: kecepatan pengumpulan meningkat, jejak pelaku menyusut, dan kemampuan mengelabui proteksi browser modern membuat ancaman lebih berbahaya. Organisasi harus menganggap rilis ini sebagai peringatan untuk mempercepat pembaruan strategi deteksi, memperketat kebijakan akses, dan menegakkan praktik keamanan siber dasar yang kuat.

Sumber: BleepingComputer

Tags
October 22, 2025
3 minutes read
Leave a Reply

One Comment

  1. Jika baru terinfeksi apakah mengganti password dan mengaktifkan 2AF ,lebih baik harus instal ulang laptop/pc secara clean(lewat boot flashdisk)?

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button