Uma nova e perigosa ameaça está mirando milhões de usuários do Google Chrome em desktops ao redor do mundo. O Vidar Stealer 2.0, identificado recentemente por pesquisadores da Trend Micro, representa uma evolução significativa de um dos malwares mais notórios do tipo “infostealer” — programas projetados para roubar senhas, dados bancários, cookies e carteiras de criptomoedas.
O alerta é sério: a nova versão do malware foi reescrita em C, ganhou suporte a multithread e, mais preocupante, é capaz de contornar a criptografia AppBound do Chrome, um dos principais mecanismos de proteção de dados introduzidos pelo Google em 2024.
A descoberta ocorre em um momento estratégico no submundo do cibercrime. Com o declínio do Lumma Stealer, outro infostealer amplamente distribuído, o Vidar Stealer 2.0 surge como o candidato mais provável a ocupar seu espaço — e já demonstra capacidade técnica para isso.
O que muda com o Vidar Stealer 2.0?
O Vidar Stealer 2.0 mantém seu foco principal: roubar dados sensíveis de usuários. Entre os alvos estão senhas armazenadas em navegadores, cartões de crédito, cookies de sessão, carteiras de criptomoedas (como Metamask e Exodus), credenciais de contas Steam e até dados do Telegram Desktop.
Mas o que torna o Vidar 2.0 especialmente perigoso é o salto técnico que recebeu nesta nova geração. Ele está mais leve, rápido, modular e altamente evasivo — uma combinação que aumenta suas chances de escapar de antivírus tradicionais e concluir o roubo de dados em segundos.
Reescrito em C e com suporte a multithread
Uma das maiores mudanças é a reescrita completa do código-fonte em linguagem C. A versão anterior do malware, feita em C++, dependia de mais bibliotecas e era mais fácil de identificar por ferramentas de análise. A nova abordagem reduz as dependências e melhora a performance geral, tornando o malware mais portátil e mais difícil de detectar.
O suporte a multithread é outro avanço técnico relevante. Isso significa que o Vidar Stealer 2.0 consegue criar múltiplos processos simultâneos para realizar diferentes tarefas — como coletar senhas, extrair cookies e identificar carteiras de cripto — em paralelo. Na prática, ele consegue roubar todos os dados de uma vítima em segundos, antes que sistemas de defesa comportamental consigam reagir.
Essa arquitetura paralela também reduz o tempo de exposição do malware, dificultando ainda mais sua detecção durante o ataque.
Evasão e polimorfismo
Os pesquisadores da Trend Micro também identificaram um conjunto de técnicas de evasão no Vidar Stealer 2.0. O malware faz verificações constantes para identificar se está sendo executado em ambientes de análise (sandboxes), se há depuradores ativos e até mede o tempo de execução para detectar atrasos típicos de ambientes monitorados.
Além disso, o malware emprega polimorfismo dinâmico — ele muda partes de seu código a cada execução, o que torna a assinatura digital variável e dificulta a detecção estática por antivírus e mecanismos de Machine Learning.
Essa combinação de velocidade, ofuscação e mutabilidade reforça o status do Vidar 2.0 como uma das ameaças mais sofisticadas atualmente em circulação.
A falha crítica: como o Vidar 2.0 contorna a criptografia do Chrome
Para compreender a gravidade da situação, é importante entender primeiro o que é a criptografia AppBound do Chrome.
Introduzida em 2024, essa tecnologia tinha como objetivo vincular as chaves de criptografia usadas para proteger cookies, senhas e tokens ao hardware físico do dispositivo. Assim, mesmo que um invasor copiasse o banco de dados de credenciais de um computador, ele não conseguiria descriptografá-lo em outra máquina.
No entanto, o Vidar Stealer 2.0 encontrou uma brecha engenhosa. Em vez de tentar quebrar a criptografia em disco, ele realiza um ataque de injeção de memória, técnica que envolve inserir código malicioso diretamente nos processos em execução do navegador.
Segundo a Trend Micro, o malware é capaz de forçar o Chrome a iniciar em modo de depuração, o que permite extrair as chaves de criptografia diretamente da memória ativa.
Dessa forma, o Vidar 2.0 obtém as chaves antes que o Chrome as bloqueie ao hardware, tornando o mecanismo AppBound praticamente inútil contra esse tipo de ataque. É um golpe direto em uma das defesas mais recentes e celebradas do Google.
Em resumo: o malware não quebra a criptografia — ele a contorna.
O cenário de ameaças: por que o Vidar deve dominar o mercado?
O timing do lançamento do Vidar Stealer 2.0 não é coincidência. Nos últimos meses, o Lumma Stealer, outro infostealer amplamente distribuído no submundo hacker, enfrentou um colapso após uma série de vazamentos e doxing que expuseram seus operadores.
Com a saída do Lumma do mercado, um vácuo se abriu — e o Vidar 2.0 está posicionado para preenchê-lo rapidamente.
De acordo com a Trend Micro, os principais fatores que favorecem o domínio do Vidar incluem:
- Reescrita otimizada em C, que melhora o desempenho e dificulta detecção;
- Recursos multithread, que aumentam a eficiência na coleta de dados;
- Técnicas avançadas de evasão, que superam proteções de sandbox e antivírus;
- Histórico consolidado: o Vidar tem origem em 2018, com forte presença em fóruns russos;
- Preço competitivo: vendido como “serviço” (Malware-as-a-Service), com planos acessíveis no submundo digital.
Especialistas alertam que o Vidar Stealer 2.0 deve se tornar o principal infostealer em circulação até o final de 2025, substituindo definitivamente o Lumma Stealer nas campanhas de roubo de dados em massa.
Conclusão: um alerta para usuários do Chrome
O Vidar Stealer 2.0 não é apenas uma atualização, mas uma evolução perigosa no cenário de roubo de informações. Ele combina alta velocidade (via multithread) com sofisticação técnica, explorando vulnerabilidades na forma como o Chrome protege dados sensíveis na memória.
Para usuários comuns e profissionais de TI, o alerta é claro: mesmo as proteções mais modernas podem ser insuficientes diante de ameaças ativas e em rápida evolução.
Boas práticas continuam sendo essenciais — evitar downloads de fontes não confiáveis, desconfiar de anexos em e-mails suspeitos e manter o sistema e o navegador sempre atualizados. No entanto, o caso do Vidar 2.0 reforça que a segurança digital moderna depende também da vigilância constante e da rápida resposta das grandes plataformas.
O infostealer da nova geração mostra que, na corrida entre hackers e empresas de tecnologia, cada avanço de defesa logo encontra seu contra-ataque.
