Vidar Stealer 是一种信息窃取恶意软件，于 2018 年首次被发现，如今它已演变出一种复杂的新欺骗技术，将目标对准了网络安全专业人员和系统管理员。

这款臭名昭著的恶意软件由 Arkei 木马演变而来，它不断改进，能够从受感染的系统中获取敏感数据，包括浏览器的 Cookies、存储的凭据以及财务信息。

这款信息窃取软件以恶意软件即服务（MaaS）的形式运行，在暗网市场上很容易就能买到，这使得技术水平有限的网络犯罪分子也能够实施复杂的攻击。

其近期的传播方式包括恶意电子邮件附件以及恶意广告活动，目的是诱骗用户下载并执行有效载荷。

2025 年 2 月，发生了一起特别值得关注的事件：在 Steam 上发布的一款免费游戏 PirateFi，其文件中隐藏了 Vidar Stealer，在毫无防备的玩家安装游戏时将其感染。

2025 年 3 月，G Data 安全研究人员发现了一个不同寻常的 Vidar Stealer 样本，它采用了一种特别复杂的欺骗技术。

这个样本最初在 VirusTotal 上仅被检测出有 5 次威胁，这表明它可能经过了混淆处理，或者是出现了一个新的变种。

此次发现特别令人担忧的地方在于，该恶意软件伪装成了合法的 Microsoft  Sysinternals 实用工具 BGInfo.exe。BGInfo.exe 是一款被广泛信任的系统管理工具，用于在桌面背景上显示系统信息。

这一最新的演变标志着该恶意软件在隐蔽策略上有了重大升级，因为恶意软件的编写者专门针对了 IT 专业人员和安全团队常用的工具。

通过入侵安全团队所依赖的实用工具，攻击者增加了成功渗透到拥有大量敏感数据的企业环境中的几率。

欺骗技术

这个 Vidar Stealer 变种所采用的欺骗技术在细节上非常用心。

这个恶意文件将自己伪装成 2025 年 2 月对合法 BGInfo 实用工具的一次更新，还带有一个已过期的 Microsoft 数字签名。

合法的 BGInfo.exe 大小约为 2.1 兆字节，而恶意变种的大小则明显更大，达到了 10.2 兆字节，这是因为其中隐藏了恶意代码 —— 这是一个表明软件有问题的关键迹象。

一旦被执行，该恶意软件就会修改 BGInfo.exe 的初始化例程，具体来说就是改变进程堆处理方式，以便进行未来的内存分配，并将执行重定向到其恶意函数。

这种巧妙的操纵确保了该文件运行的是恶意代码，而不是预期的 BGInfo 功能。

一个表明系统已被攻陷的明显迹象是，受感染的版本无法更新桌面壁纸 —— 而这是合法工具的一个关键功能。

技术分析显示，该恶意软件使用 VirtualAlloc 函数为其下一阶段的执行创建虚拟内存空间。

这个分配的内存最终会包含有效载荷的证据，在内存中可以看到诸如 “input.exe” 以及 MZ 头部（0x4D 0x5A）这样的字符串。

转储这个二进制文件后，会发现 Vidar Stealer 的核心组件，其编译日期为 2025 年 2 月 3 日。

该恶意软件精心伪装成一款受信任的管理工具，这凸显了威胁行为者不断演变的攻击策略，他们越来越多地将目标对准网络安全专业人员所信任的工具和软件。

建议各组织机构对所有软件更新实施严格的验证程序，即使是对受信任的实用工具也不例外，并且要监控系统是否存在异常行为，尤其是当管理工具无法按预期运行时。