Фалшиви софтуерни изтегляния от YouTube разпространяват Vidar malware и компрометират корпоративни акаунти

Атакуващи използват фалшиви софтуерни видеа и download линкове, за да инсталират Vidar malware и да извличат браузърни сесии, пароли и достъп до корпоративни системи.

Нова вълна от атаки с Vidar infostealer използва фалшиви софтуерни изтегляния, промотирани чрез YouTube видеа, за да компрометира служители и корпоративни среди.

Това, което изглежда като обикновена инсталация на полезен инструмент, всъщност е механизъм за кражба на идентификационни данни, браузърни сесии и крипто портфейли.

Кампанията показва ясно как infostealer malware все по-често се използва като първа стъпка към по-сериозни атаки.

Как работи атаката

Целият процес изглежда напълно нормален за потребителя.

Основният сценарий:

• служител търси софтуерен инструмент или tutorial в YouTube
• видео предлага полезна програма с download линк
• потребителят е пренасочен към file-sharing платформа като MediaFire
• изтегля се архив с фалшив installer
• видимият .exe файл зарежда скрит malicious DLL
• DLL файлът стартира Vidar незабелязано

В наблюдавания случай фалшивият пакет използва името NeoHub, а реалният payload е скрит в файл msedge_elf.dll, който имитира легитимен компонент на Microsoft Edge.

Какво краде Vidar

Vidar е насочен към данни с директна стойност за достъп.

Основни цели:

• запазени браузърни пароли
• cookies и активни сесии
• autofill и платежни данни
• крипто портфейли
• authentication tokens
• корпоративни SaaS акаунти

Под удар попадат Chrome, Edge, Firefox, Opera, Vivaldi и други браузъри.

Откраднатите данни често се продават в underground пазари и се използват за последващи атаки.

Защо това има значение

Истинският риск не е самият malware, а достъпът след него.

Един компрометиран браузър може да отвори:

• VPN достъп
• Microsoft 365 сесии
• CRM системи
• cloud dashboards
• вътрешни административни панели

Това прави infostealer кампаниите изключително ефективни за follow-on атаки.

DIAMATIX перспектива

Кражбата на идентификационни данни все по-често е началото на реалния пробив.

Атакуващият не търси непременно уязвимост. Често е достатъчно потребителят сам да инсталира „полезен“ софтуер.

Това измества фокуса към:

• visibility върху endpoint activity
• monitoring на authentication patterns
• detection на session abuse
• ранно откриване на credential misuse

В DIAMATIX разглеждаме infostealers като operational security риск, а не само malware инцидент.

Анализ от гледна точка на CISO

От гледна точка на CISO това е supply-chain стил social engineering атака.

Приоритетни мерки:

• ограничаване на software downloads от непроверени източници
• MFA за всички бизнес системи
• monitoring на leaked credentials
• secure web gateways и DNS filtering
• forced reauthentication policies

Въпросът не е дали някой ще кликне. Въпросът е колко бързо организацията ще засече последствията.

Източници

• Intrinsec – анализ на Vidar кампанията
• CISA – предупреждения за infostealer активности
• Публични threat intelligence доклади за Vidar MaaS

Статията е базирана на публично достъпни технически анализи и разследвания към април 2026 г.