老牌窃密木马玩起"图骗"：把恶意代码藏进照片里

你收到一张普通的JPEG照片，系统没报毒，杀毒软件安静如鸡。但打开的瞬间，后台已经开始下载真正的攻击代码——这不是科幻片，是Vidar木马2026年的新把戏。

Point Wild安全团队4月24日发布的分析报告，把这个活跃了8年的老牌窃密家族的底裤掀了个干净。从2018年基于Arkei框架的简陋工具，到如今支持多阶段投递、用社交媒体当指挥部的成熟服务，Vidar的进化路线本身就是一部恶意软件商业化教科书。

一、把恶意代码塞进JPEG：为什么选这两种格式

这次更新的核心变化，是把第二阶段的攻击载荷藏进JPEG图片和TXT文档。

安全工具对可执行文件（.exe/.dll）的审查最严格，但对图片和文本的警惕性天然较低。JPEG作为互联网上最常见的文件格式，每天在全球流转数十亿张，混入其中几乎不可能靠人工筛查发现。TXT文档更是"人畜无害"的代名词，多数终端防护策略甚至不会对其做深度内容分析。

这种选择暴露了攻击者的算计：不是突破防御，而是绕过防御的触发机制。

Lat61威胁情报团队的研究员Kedar Shashikant Pandit和Prathamesh Shingare在报告中指出，该变种"严重依赖混淆脚本、受信任的Windows工具，以及通过非可执行文件格式的分阶段投递"来规避检测。翻译成人话：它不直接运行恶意程序，而是让系统自带的合法工具替它干活。

具体技术路径上，感染链从Go语言编写的投放器（dropper）开始。Go在恶意软件圈属于冷门选项，传统安全工具的特征库很少针对它做优化，这第一道门槛就筛掉了不少检测能力较弱的防护方案。

投放器落地后，会在Windows Temp目录释放一个名为ewccbqtllunx.vbs的VBScript文件。这个脚本先做环境侦察——如果检测到沙箱环境，立即终止执行；否则构造混淆后的PowerShell命令，以隐藏窗口模式运行。

后续的PowerShell脚本负责连接远程服务器，下载真正的第二阶段载荷。而这些载荷，就藏在看似正常的JPEG和TXT文件里。

二、感染入口：开发者、玩家、普通用户一个都不放过

Vidar的传播策略呈现明显的平台化特征，针对不同人群设计了差异化的钓鱼场景。

针对开发者群体，攻击者伪造GitHub仓库，伪装成开发工具或泄露软件。这个人群有从非官方渠道获取软件的习惯，且对安全警告的容忍度较高——毕竟日常开发中绕过签名验证是常见操作。

针对普通网民，被攻陷的WordPress网站和虚假CAPTCHA页面（ClickFix）是主要入口。后者尤其阴险：页面提示"点击验证以继续"，用户点击后实际执行的是预设的Windows命令，触发整个感染链。

针对游戏玩家，假外挂工具仓库被部署在GitHub、Discord、Reddit等平台。玩家群体为获取游戏内优势，主动关闭安全软件、忽略风险提示的行为模式，被攻击者精准利用。

这三种路径的共同点在于：都利用了特定场景下用户的心理弱点，而非技术漏洞。安全产品的防护边界止于用户主动选择，这是Vidar传播效率的核心支撑。

三、目标清单：200多个浏览器扩展，加密货币钱包成重点

成功感染后，Vidar的收割范围远超传统意义上的"盗号"。

其目标清单包含超过200个浏览器扩展，涵盖MetaMask、Phantom、Coinbase Wallet等主流加密货币钱包，以及Bitwarden、LastPass、KeePass等密码管理器。

这个组合很有意思。密码管理器本是安全工具，但一旦本地被攻破，反而成为"一站式"凭证仓库。加密货币钱包则直接关联资产转移，变现路径最短。攻击者显然做过成本收益分析：相比窃取游戏账号再倒卖，直接清空数字钱包的效率高出数个数量级。

更值得警惕的是内存执行机制。Vidar的完整感染链在内存中运行，感染系统在磁盘上留下的痕迹极少。这对依赖文件扫描的传统EDR（端点检测与响应）方案构成直接挑战——没有可疑文件落盘，就没有检测锚点。

四、商业模式进化：从工具到服务的八年转型

回顾Vidar的发展轨迹，2018年的初代只是基于Arkei框架的基础凭证窃取工具。到2026年，它已完成向恶意软件即服务（MaaS）的转型。

MaaS模式的核心在于降低技术门槛。攻击者无需自行开发恶意软件，购买订阅服务即可获得持续更新的攻击工具、基础设施和技术支持。这解释了Vidar传播策略的多元化——不同"客户"可以根据自身资源选择不同的入侵路径，平台方则专注于核心技术的迭代。

指挥控制基础设施的迁移同样值得关注。Vidar将Telegram纳入C2（命令与控制）通信渠道，利用这个以隐私著称的平台的加密特性，规避传统网络监控的检测。平台选择本身也是一种信号：攻击者在持续跟踪网络监管的技术边界，动态调整藏身之处。

这种商业化程度意味着Vidar的威胁不是个案，而是一个持续运营、有反馈闭环的攻击生态。技术对抗的维度从"样本分析-特征提取-规则更新"的单向链条，演变为需要理解对手商业模式、预测其资源投入方向的复杂博弈。

五、防御困境：当攻击者比防御者更懂"合规"

Vidar的新变种暴露了一个尴尬现实：攻击者对"合规"的理解可能比部分防御者更深。

它全程使用Windows系统自带工具（VBScript、PowerShell），执行的是系统合法功能，没有调用可疑API，没有创建持久化驻留的传统痕迹。从行为特征看，这与正常的IT管理脚本难以区分。

它选择的投递载体（JPEG、TXT）是企业网络中流量最大的文件类型，对其设置严格审查策略会产生巨大运营负担。

它的内存执行机制绕过了以文件为中心的检测范式，而多数企业的安全架构仍建立在这个范式之上。

Point Wild团队的报告没有给出"一键解决"的方案，这本身是诚实的。面对这种级别的对手，防御的有效性取决于多个环节的协同：终端行为监控的覆盖深度、网络流量分析的实时性、用户安全意识的基线水平、以及事件响应的成熟程度。

单一产品的能力边界已经清晰可见。Vidar的进化不是在测试某项技术的强度，而是在测试安全体系的完整度。