Un malware ladrón de credenciales llamado Vidar ha surgido silenciosamente como una de las amenazas más activas que afectan a empleados corporativos a principios de 2026. Los actores maliciosos están utilizando descargas falsas de software promocionadas a través de videos de YouTube para engañar a los trabajadores y lograr que lo instalen en sus equipos, lo que ha resultado en el robo masivo de credenciales de inicio de sesión, datos del navegador e información de carteras de criptomonedas.

Un malware ladrón de credenciales llamado Vidar ha surgido silenciosamente como una de las amenazas más activas que afectan a empleados corporativos a principios de 2026.

Los actores de amenazas están utilizando descargas falsas de software promocionadas a través de videos de YouTube para engañar a los trabajadores y hacer que lo instalen en sus equipos, lo que resulta en el robo generalizado de credenciales de inicio de sesión, datos del navegador e información de carteras de criptomonedas.

La campaña ha llamado la atención de investigadores de seguridad en todo el mundo debido a su creciente escala y naturaleza dirigida.

El ascenso de Vidar no ocurrió de la noche a la mañana. A lo largo de 2025, operaciones internacionales de aplicación de la ley desmantelaron la infraestructura de dos infostealers ampliamente utilizados, Lumma y Rhadamanthys.

A medida que esas plataformas colapsaron, los ciberdelincuentes buscaron rápidamente una alternativa confiable. Los operadores de Vidar vieron la oportunidad y lanzaron Vidar versión 2.0 en octubre de 2025, introduciendo capacidades más fuertes y técnicas de evasión mejoradas.

Desde entonces, Vidar ha sido consistentemente el stealer más destacado en el Russian Market, basado en el volumen de registros robados subidos cada mes.

Analistas de Intrinsec identificaron una cadena de ataque completa mientras investigaban un compromiso de Vidar que afectó a un empleado corporativo en una de sus organizaciones cliente.

Su análisis mostró que el ataque comenzó con un video de YouTube que anunciaba una herramienta de software falsa llamada NeoHub.

La víctima encontró un enlace al archivo, fue redirigida a través de un sitio de intercambio de archivos y terminó descargando un archivo malicioso desde Mediafire.

Todo el proceso parecía una instalación normal de software. El impacto va mucho más allá de un solo empleado comprometido. Vidar ha sido adoptado por una amplia gama de actores de amenazas, desde oportunistas individuales hasta grupos organizados como Scattered Spider.

CISA publicó un aviso de seguridad nombrando a Vidar entre las herramientas utilizadas por ese grupo. Las credenciales robadas luego se venden en Russian Market, poniendo en grave riesgo las redes corporativas y las cuentas internas.

El malware apunta a Chrome, Firefox, Edge, Opera, Vivaldi, Waterfox y Palemoon, recopilando contraseñas, cookies, datos de tarjetas de crédito y archivos de carteras de criptomonedas.

El Mecanismo de Infección: Un Ataque Cuidadosamente Planificado

La cadena de ataque detrás de esta campaña está diseñada para evitar sospechas de principio a fin. Después de que la víctima descarga el archivo desde Mediafire, se le presenta lo que parece ser un paquete de software estándar.

El archivo más visible es NeoHub.exe, que parece un instalador normal. En realidad, este ejecutable carga en secreto un segundo archivo llamado msedge_elf.dll, que contiene la carga útil real de Vidar.

Ambos archivos trabajan en sincronía para lanzar la infección de manera silenciosa. El archivo msedge_elf.dll fue creado para imitar un componente genuino del navegador Microsoft Edge, lo que dificulta su detección durante una revisión rápida.

Para añadir otra capa de credibilidad, el archivo fue firmado usando un certificado de firma de código falso. La primera versión se hacía pasar por GitHub bajo el nombre "githab.com", y una versión posterior imitaba a grow.com.

Ambos certificados estaban vinculados a múltiples otros archivos maliciosos, lo que apunta a un actor de amenazas compartido o a un servicio de terceros que genera firmas falsificadas.

La DLL maliciosa está empaquetada usando un empaquetador basado en GO con nombres de sección inusuales y aplanamiento del flujo de control. Este método rompe deliberadamente la estructura natural del código, haciendo que sea muy difícil para las herramientas de seguridad y los analistas examinarlo.

Una vez en ejecución en la máquina de la víctima, Vidar utiliza un Dead Drop Resolver para localizar su servidor de comando y control. En lugar de codificar una dirección C2, el malware oculta la ubicación real del servidor dentro de perfiles públicos de Steam y canales de Telegram, lo que permite a los atacantes rotar la infraestructura rápidamente sin necesidad de actualizar el malware en sí.

Las organizaciones deben capacitar a los empleados para evitar descargar software a través de enlaces en videos de YouTube o sitios web de intercambio de archivos desconocidos. La autenticación multifactor (MFA) debe estar habilitada en todas las cuentas vinculadas al navegador para reducir el riesgo de robo de credenciales.

Los equipos de seguridad deben bloquear dominios e direcciones IP maliciosas utilizando indicadores de compromiso publicados y configurar monitoreo de red para detectar conexiones salientes inusuales a servidores C2 desconocidos.

Las puertas de enlace web seguras y el filtrado de DNS pueden detener redirecciones maliciosas antes de que lleguen a los usuarios. El sandboxing de archivos descargados antes de su ejecución añade una capa crítica de defensa.