Vidar偷渡术：把恶意代码藏进照片和文档

你的杀毒软件每天都在扫描JPEG图片和TXT文档，但它可能正在漏过真正的威胁。

Point Wild安全团队今年4月发现，活跃多年的信息窃取木马Vidar完成了关键升级——它不再把恶意代码直接塞进可执行文件，而是把第二阶段攻击载荷藏进看似无害的图片和文本文件。这种"文件套娃"手法让传统安全工具的大规模筛查策略直接失效。

从密码小偷到服务化武器

Vidar最早在2018年露面，当时只是基于Arkei框架的基础凭证窃取工具。八年过去，它完成了三级跳：2026年全面转向恶意软件即服务（MaaS）模式，支持多阶段投递链，甚至用Telegram等社交平台充当指挥控制通道。

现在的Vidar不再满足于偷浏览器里保存的密码。它能在目标电脑的内存中执行完整感染链，被攻陷的系统上几乎留不下痕迹。Lat61威胁情报团队的Kedar Shashikant Pandit和Prathamesh Shingare在4月24日发布的报告中，完整还原了从初始入侵到最终数据外泄的全流程。

他们的核心发现是：新版Vidar极度依赖三项技术——混淆脚本、受信任的Windows系统工具，以及通过非可执行文件格式进行的分阶段投递。

攻击入口：开发者、玩家、普通用户通吃

Vidar的传播渠道呈现出明显的"场景化钓鱼"特征，针对不同人群设计不同诱饵。

对开发者群体，攻击者搭建伪造的GitHub仓库，伪装成开发工具或泄露版软件。对普通网民，被攻陷的WordPress网站和虚假CAPTCHA页面（即ClickFix页面）诱导用户手动执行Windows命令，触发感染链。

游戏玩家则是另一块肥肉。假外挂工具仓库被散布在GitHub、Discord和Reddit等平台，利用玩家"为了赢愿意冒险"的心理，让他们主动忽略安全警告。

这种多入口策略的覆盖范围相当惊人。Vidar目前针对超过200款浏览器扩展，包括MetaMask、Phantom、Coinbase Wallet等加密钱包，以及Bitwarden、LastPass、KeePass等密码管理器。这已经超出单纯偷密码的范畴，直接威胁个人和机构的资产安全与核心数据。

技术拆解：五层嵌套的隐身术

Point Wild团队还原的感染链堪称"俄罗斯套娃"，每一层都针对特定检测环节做了优化。

第一层：Go语言写的投递器

感染起点是一个用Go语言编译的投递器二进制文件。Go在恶意软件领域相对少见，这个选择本身就绕过了大量基于"常见威胁语言"特征库的传统安全工具。

投递器执行后，会在Windows Temp目录释放一个名为ewccbqtllunx.vbs的VBScript文件。

第二层：沙箱检测与PowerShell激活

VBScript首先执行环境侦察——检查系统是否运行在沙箱中。如果检测到虚拟化环境，脚本立即退出，避免被安全研究人员分析。通过检测后，它构建一条混淆的PowerShell命令，以隐藏窗口模式执行。

这条PowerShell命令负责连接远程服务器，下载下一阶段载荷。但真正的花样从这里才开始。

第三层：JPEG和TXT里的秘密

下载回来的文件表面上是普通JPEG图片或TXT文档，实际嵌入了恶意代码。这种"格式欺骗"直接击中了安全工具的一个盲区：大多数扫描引擎对图片和文本文件的处理深度远低于可执行文件，往往只做基础格式校验就放行。

攻击者利用的是文件格式的"解释弹性"——JPEG的注释字段、TXT文件的特定编码区域，都可以用来存储额外数据而不破坏文件的正常打开功能。

第四层：内存执行，不留痕迹

提取出的载荷不写入硬盘，直接在内存中运行。这种"无文件攻击"技术让基于磁盘扫描的EDR（端点检测与响应）工具失去靶子，取证分析也变得极为困难。

第五层：Telegram指挥通道

整个攻击链的指挥控制通过Telegram完成。利用正规通讯平台的加密基础设施，Vidar的运营者既隐藏了流量特征，又获得了高可用性的命令下发通道。

为什么这种手法特别麻烦

传统安全防护建立在几个假设之上：可执行文件是高风险对象，需要重点扫描；图片和文档相对安全，可以简化处理；磁盘上的持久化文件是检测和取证的关键抓手。

Vidar的新变种同时打破了这三条假设。

把恶意代码藏进JPEG和TXT，本质上是"流量伪装"思路的进化版——不是加密通信内容让分析者看不懂，而是直接把攻击载荷包装成日常数据类型，让安全工具"看不见"。

内存执行则消灭了取证链条上的关键一环。没有磁盘样本，安全团队难以提取特征、无法做逆向分析，威胁情报的产出速度被大幅拖慢。

更值得警惕的是MaaS模式的扩散效应。Vidar的技术升级会被迅速打包成服务，卖给技能水平参差不齐的下游攻击者。这意味着同样的隐身技术会出现在更多变种、更多 campaign 中，追踪和归因的难度成倍增加。

对防御方的实际影响

Point Wild的报告没有给出具体的检测方案，但从攻击链的构成可以反推防御重点。

Go语言投递器提示：静态特征库需要扩展语言覆盖，行为检测的权重应该提高。VBScript的沙箱检测对抗提示：分析环境需要更精细的伪装，或者转向纯动态分析。

JPEG/TXT载荷提示：深度内容检查必须覆盖"低危"文件类型，不能只做格式校验。PowerShell混淆提示：脚本行为的基线建模比关键词匹配更可靠。

Telegram C2提示：网络流量分析需要关注异常的长连接和特定通讯模式，而非简单封禁域名。

最根本的挑战在于：Vidar的每一层设计都针对"自动化、规模化"的安全工具策略。当攻击者开始为每个环节定制反制手段，防御方被迫从"规则匹配"转向"异常行为建模"，成本和复杂度都在上升。

这场攻防的代价不对等。攻击者只需要找到一个盲点就能穿透，防御者却需要为所有可能的入口部署检测。Vidar把恶意代码塞进JPEG和TXT，看似是个小技巧，实则是对这种不对等性的精准利用——它攻击的不是某个具体漏洞，而是安全架构的默认假设。