Ny forskning från Lat61 Threat Intelligence Team visar att den kända infostealern Vidar har utvecklats till en avancerad flerstegsattack som gömmer skadlig kod i vanliga JPEG-bilder och textfiler. Tekniken gör det betydligt svårare för säkerhetsprogram att upptäcka attacken.

Flera vägar in

Angriparna använder flera metoder för att lura offer:

• Falska GitHub-repositories som utger sig för att vara gratisversioner av AI-verktyget Claude Code
• Fejkade spelverktyg och fuskkoder som sprids via Reddit och Discord
• Kapade WordPress-sajter som visar falska CAPTCHA-kontroller (ClickFix-sidor) som uppmanar användaren att köra ett kommando

Oavsett ingångsväg startar samma infektionskedja: VBScript och PowerShell-skript som laddar ner en Go-kompilerad laddare.

Skadlig kod gömd i bilder

Det som gör 2026-versionen av Vidar farligare är hur den levererar sin last. När en enhet väl är infekterad laddar skadlig kod ner filer som ser ut som vanliga JPEG-bilder och textdokument. I verkligheten innehåller filerna Base64-kodad data som döljs med steganografi.

Skadlig kod söker igenom filerna efter dolda markörer, plockar ut den kodade datan och bygger ihop den slutliga Vidar-lasten. Allt körs direkt i datorns minne via .NET reflective loading, vilket innebär att den skadliga koden aldrig sparas på hårddisken. Det gör den osynlig för de flesta säkerhetsskannrar.

Smälter in bland vanliga processer

Vidar utnyttjar även betrodda Windows-verktyg som WScript, PowerShell och RegAsm.exe för att smälta in bland normala systemprocesser. Genom att använda verktyg som redan finns på datorn undviker angriparna att utlösa larm.

Stöld i stor skala

Den slutliga versionen kan stjäla data från över 200 webbläsartillägg i Google Chrome och Microsoft Edge. Fokus ligger på kryptoplånböcker, inloggningsuppgifter och sessionsdata. Stulen data skickas tillbaka till angriparna via Telegram och Cloudflare-skyddade domäner.

"Hotaktörer utnyttjade den senaste Claude Code-läckan genom att skapa falska GitHub-repositories med trojaniserade verktyg som levererade Vidar. Det anmärkningsvärda här är utvecklingen av leveransmetoden genom steganografiska tekniker", sa Dr. Zulfikar Ramzan, chef för Lat61 Threat Intelligence Team.