في عالم الجرائم الإلكترونية المتغير، برمجية Vidar الخبيثة تبرز كأحد أبرز أدوات سرقة المعلومات. منذ عام 2018، أثبتت قدرتها على التكيف والنمو، خاصة بعد تعطيل منافسيها الرئيسيين.
برمجية Vidar الخبيثة، التي تتخصص في سرقة بيانات الاعتماد، والتي كانت موجودة في نظام الجرائم الإلكترونية منذ عام 2018، قد تصدرت سوق سرقة المعلومات بعد أن قامت سلطات إنفاذ القانون بتعطيل أكبر منافسيها العام الماضي.
هذا التحول جاء نتيجة للإصدار المدروس من قبل مؤلف البرمجية لتحديث كبير وتوسيع شبكة توزيع Vidar خلال الاضطرابات، مما جعلها خياراً مفضلاً للجناة الإلكترونيين، وفقاً لأبحاث جديدة من شركة Intrinsec.
الصعود إلى القمة
في تقرير مكون من 43 صفحة، وصفت Intrinsec Vidar بأنه الأكثر استخداماً في السوق الروسية، وهو سوق للجرائم الإلكترونية، منذ نوفمبر 2025. وقد حلت محل كل من Lumma وRhadamanthys بعد أن قامت سلطات إنفاذ القانون بتعطيل عمليات سرقة المعلومات التي كانت تتصدر السوق في مايو 2025 ونوفمبر 2025، على التوالي.
هذا التحول مهم لأن Vidar هو جامع بيانات اعتماد واسع النطاق وعالي الحجم، وقد استخدمته بعض المجموعات التهديدية البارزة، بما في ذلك Scattered Spider، في حملاتهم. يعني تزايد قاعدة العملاء أن المزيد من المهاجمين الآن يقومون بنشر البرمجية ضد الشبكات المؤسسية.
“الفوضى هي سلم، وقد استفادت Vidar بنجاح من عدم الاستقرار الناتج عن تعطيل Lumma وRhadamanthys، لتصل إلى قمة نظام سرقة المعلومات،” قالت شركة الأمن السيبراني الفرنسية في تقريرها. “بسبب الحجم الكبير من العينات والحملات العشوائية التي تستهدف المستخدمين في جميع أنحاء العالم، يمكننا أن نتوقع استمرار رؤية محاولات اختراق متعددة ضد الشبكات المؤسسية باستخدام هذه البرمجية.”
مثل معظم أدوات سرقة المعلومات الشائعة، تستهدف Vidar مجموعة واسعة من البيانات الحساسة التي يمكن أن يستخدمها المهاجمون في هجمات مستقبلية ضد المؤسسات. تقوم البرمجية بسحب كلمات المرور المحفوظة، وملفات تعريف الارتباط، وبيانات الملء التلقائي، ورموز الجلسة من المتصفحات الرئيسية بما في ذلك Chrome وFirefox وEdge وOpera وVivaldi وWaterfox وPalemoon.
تعد محافظ العملات المشفرة أيضاً من بين الأهداف، حيث يستضيف مشغلو Vidar قائمة من معرفات ملحقات متصفح محافظ العملات المشفرة على بنيتهم التحتية الخاصة. يمكن للبرمجية أيضاً التقاط لقطات شاشة، وجمع بيانات عملاء البريد الإلكتروني، واستخراج الملفات المحلية لتوفير صورة شاملة عن بيئة الضحية.
تُعَد البيانات المسروقة، وفقاً لـ Intrinsec، سريعة البيع في الأسواق السوداء مثل السوق الروسية. عادة ما يستخدم المهاجمون هذه البيانات لتولي الحسابات، والتحرك داخل الشبكة، ونشر برامج الفدية، وزيادة الامتيازات، وتنفيذ إجراءات ضارة أخرى تحت ستار مستخدم أو خدمة شرعية.
أساليب التوزيع
يستخدم المهاجمون مجموعة متنوعة من الأساليب لتوزيع Vidar. تشمل التكتيكات الأكثر شيوعاً المرفقات الاحتيالية المتنكرة كبرامج مثبتة شرعية من منصات مشاركة الملفات، والفخاخ الاجتماعية على YouTube التي تعيد توجيه المستخدمين عبر خدمات مشاركة الملفات الشهيرة إلى تنزيلات ضارة. وثق باحثون آخرون استخدام المهاجمين لحملات ClickFix، وحزم npm المزيفة، وغش الألعاب المزيفة لتوصيل Vidar.
أحد العوامل المهمة في النمو الأخير لـ Vidar، وفقاً لـ Intrinsec، هو قرار مشغليها التعاون مع ما يسمى بقنوات “Cloud” على Telegram، وهي قنوات عامة أو شبه عامة حيث يشارك المجرمون البيانات المسروقة بحرية. تساعد هذه القنوات، التي تحمل أسماء مثل Kata Cloud وPoltergeist Cloud وCron Cloud وOmega Cloud، في الإعلان عن Vidar وجذب المزيد من العملاء إلى البرمجية، حسبما ذكرت Intrinsec.
“تساعد قنوات Telegram ‘cloud’ في تعزيز نظام البيانات المسروقة وتساعد في الإعلان عن أدوات السرقة وراء البيانات المسروقة،” قالت شركة الأمن. “قد يلاحظ المشتركون في هذه القنوات أن المزيد من القنوات تستخدم Vidar، وبالتالي يعتقدون أن هذه برمجية مفيدة لسرقة البيانات.”
تم تصميم بنية Vidar التحتية للبقاء على قيد الحياة بعد محاولات التعطيل. أحد الآليات التي استخدمها مشغلو Vidar لمحاولة إخفاء أنظمة التحكم والاتصالات (C2) الخاصة بهم هو “محللات التوصيل الميتة”، وهي تقنية حيث لا تتضمن البرمجية مباشرة عنوان C2 الخاص بها. بدلاً من ذلك، تحتوي البرمجية على عناوين URL تشير إلى منصات عامة شرعية مثل Telegram، حيث يقوم المهاجمون بإدراج عنوان C2 الفعلي في وصف الملف الشخصي، أو منشور، أو سيرة ذاتية للحساب. عندما تصل Vidar إلى نظام الضحية، تتواصل مع هذه العناوين URL لاسترجاع تفاصيل C2 الحقيقية ديناميكياً، مما يساعد على تجنب الكشف الثابت والحظر، وفقاً لـ Intrinsec.
توصيات Intrinsec لحماية ضد Vidar تشمل تمكين المصادقة متعددة العوامل لحسابات المتصفح لتخفيف سرقة البيانات، ونشر تصفية DNS وبوابات ويب آمنة لحظر النطاقات وعناوين IP الضارة المعروفة، واستخدام حلول الصناديق الرملية لتحليل المرفقات وعناوين URL في البريد الإلكتروني.
مع تزايد استخدام Vidar، من الضروري أن تتبنى المؤسسات استراتيجيات فعالة لحماية بياناتها. يتطلب الأمر وعياً مستمراً بأساليب الهجوم والتقنيات المستخدمة من قبل المهاجمين.
