Die aktuelle Kampagne versteckt Schadcode in scheinbar harmlosen Bild- und Textdateien – und führt ihn direkt im Arbeitsspeicher aus.
Besonders perfide: Die Kombination aus technischer Raffinesse und Social-Engineering-Tricks zielt zunehmend auch auf mobile Nutzer ab.
Da Kriminelle immer raffiniertere Methoden nutzen, um sensible Daten wie Passwörter und Bankzugänge abzugreifen, wird ein Basisschutz für das Smartphone unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackerangriffen schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Steganographie statt ausführbarer Dateien
Die neue Vidar-Variante markiert einen Wendepunkt. Während frühere Versionen auf klassischen EXE-Dateien basierten, setzt die aktuelle Generation auf Steganographie und dateilose Ausführung. Das macht sie für herkömmliche Sicherheitslösungen nahezu unsichtbar.
Experten des Lat61 Threat Intelligence Teams bei Point Wild veröffentlichten die Analyse am 24. April. Ursprünglich 2018 als einfacher Credential-Stealer gestartet, hat sich Vidar längst zu einem hochentwickelten „Malware-as-a-Service“-Modell (MaaS) entwickelt.
Die Infektionskette beginnt mit einem in Go (Version 1.25.7) kompilierten Loader. Dieser lädt Dateien von einem ferngesteuerten Server – sie sehen aus wie gewöhnliche JPEG-Bilder oder Textdateien.
Ein konkretes Beispiel: Die Datei „160066.jpg“ enthält keine sichtbaren Bilddaten, sondern dient als Träger für Base64-kodierte Nutzlasten. Automatisierte Virenscanner erkennen die bösartigen Daten nicht.
Living-off-the-Land: Windows-Werkzeuge als Helfer
Nach dem Download landen die Daten nicht auf der Festplatte. Stattdessen extrahiert und dekodiert die Malware sie direkt im Arbeitsspeicher. Dabei kommen „Living-off-the-Land“-Binärdateien (LOLBins) zum Einsatz – legitime Windows-Werkzeuge wie PowerShell, WScript oder RegAsm.exe.
Für forensische Untersuchungen bleibt das System nahezu unsichtbar. Keine permanenten Dateien alarmieren klassische Signatur-Scanner.
„Claude Code“-Leaks und gefälschte CAPTCHAs
Die Hintermänner setzen auf hochaktuelle Themen, um Vertrauen zu erschleichen. Ein Lockmittel: vermeintliche Quellcode-Leaks des KI-Werkzeugs „Claude Code“. Angreifer fluteten GitHub mit betrügerischen Repositories, die angeblich „freigeschaltete Enterprise-Funktionen“ enthielten. Hunderte solcher Fake-Repositories wurden bereits identifiziert.
Ein weiterer Trick: „ClickFix“-Seiten. Kompromittierte WordPress-Websites zeigen eine gefälschte CAPTCHA-Prüfung. Nutzer sollen einen Befehl kopieren und in die Kommandozeile einfügen, um zu beweisen, dass sie Menschen sind. In Wirklichkeit startet dieser Befehl eine Kette aus VBScript- und PowerShell-Befehlen.
Banking-Apps, private Nachrichten und Fotos machen das Smartphone zu einem lukrativen Ziel für Datendiebe, die oft unbemerkt im Hintergrund agieren. Ein gratis Sicherheitspaket enthüllt nun die unterschätzten Gefahren auf Ihrem Gerät und liefert die passenden Gegenmaßnahmen. Kostenlosen Sicherheits-Ratgeber herunterladen
Auch die Gaming-Community ist im Visier. Auf Discord und Reddit werden vermeintliche Cheat-Tools für „Counter-Strike 2“ beworben. Da Nutzer solcher Software Sicherheitswarnungen oft ignorieren, sind sie leichte Ziele.
Mobile Nutzer: Die unterschätzte Gefahr
Vidar zielt primär auf Windows-Systeme, um Browserdaten, Krypto-Wallets und Zugangsdaten zu stehlen. Doch moderne Kampagnen sind plattformübergreifend konzipiert. Bei Typosquatting-Kampagnen mit über 1.300 gefälschten Domains (unter anderem für AnyDesk, VLC und 7-Zip) wurden sowohl Windows- als auch Android-Malware verbreitet.
Ein Link auf dem Smartphone kann je nach Betriebssystem unterschiedliche Payloads ausliefern. Während auf dem Desktop JPEG-Steganographie zum Einsatz kommt, landen mobile Nutzer auf Phishing-Seiten, die auf mobile Session-Cookies oder Zwei-Faktor-Token abzielen.
Besonders kritisch: Vidar extrahiert Daten aus Chrome, Firefox, Edge und Opera. Da viele Nutzer Passwörter und Kreditkartendaten im Browser synchronisieren, hat eine Desktop-Infektion oft unmittelbare Folgen für die Sicherheit der Smartphone-Konten.
Mehrschichtige Verteidigung ist nötig
Experten empfehlen eine mehrschichtige Verteidigungsstrategie. Da die Infektion meist durch Nutzerinteraktion beginnt, ist Aufklärung der beste Schutz. Nutzer sollten keine Befehle aus unbekannten Quellen in die Kommandozeile kopieren und keine Software von inoffiziellen GitHub-Seiten herunterladen.
Auf technischer Ebene raten Sicherheitsanalysten, Werkzeuge wie RegAsm.exe oder mshta.exe streng zu überwachen oder einzuschränken. Moderne EDR-Systeme (Endpoint Detection and Response), die auf Verhaltensanalyse setzen, erkennen verdächtige Aktivitäten im Arbeitsspeicher – selbst wenn der Schadcode in einem JPEG versteckt ist.
Die Evolution von Vidar zeigt: Die Trennung zwischen Malware-Typen verschwimmt. Was als Passwort-Dieb begann, fungiert heute als Einstiegstor für Ransomware oder Wirtschaftsspionage. Steganographie und dateilose Ausführung könnten in den kommenden Monaten zum Standard-Repertoire weiterer Malware-Familien werden.
