Vidar 2.0 pone en la mira a Chrome, Discord y las carteras cripto: ataca de forma simultánea todos los almacenes de tu ordenador.
¿Por qué ya se considera a este desarrollo el software de robo de información más peligroso de 2025?
Durante las últimas semanas, la actividad del malware Vidar Stealer aumentó drásticamente — la nueva versión, numerada 2.0, se lanzó en un contexto de debilitamiento de Lumma Stealer y ya ha llamado la atención de los ciberdelincuentes. El Vidar actualizado recibió importantes mejoras técnicas, incluyendo una reestructuración completa de la arquitectura, métodos avanzados de evasión y soporte para el robo simultáneo de datos desde múltiples fuentes. Su desarrollador, conocido bajo el seudónimo Loadbaks, anunció el lanzamiento el 6 de octubre en foros clandestinos, y los primeros brotes de infección se detectaron pocos días después.
La principal diferencia técnica de la nueva versión es el abandono completo de C++ a favor del lenguaje C, lo que, según su autor, permitió lograr mejor estabilidad y rendimiento. Ahora Vidar funciona con una arquitectura multihilo y escala dinámicamente el número de hilos según la capacidad del sistema infectado, lo que acelera la recolección de información y reduce el riesgo de ser detectado antes de completar la operación.
También se han mejorado de manera significativa los métodos de extracción de datos. Vidar 2.0 elude los mecanismos de protección modernos de los navegadores, incluyendo la inyección en procesos de Chrome y la evasión del sistema AppBound, en el que las claves de cifrado están asociadas a una aplicación concreta. Los atacantes logran acceder a las contraseñas guardadas y a otros datos confidenciales directamente desde la memoria RAM del navegador, sin necesidad de descifrarlos en disco. Se precisa que la herramienta ataca tanto los almacenes de Chrome y Firefox como los datos de mensajeros, servicios en la nube y carteras de criptomonedas.
Una novedad es el sistema integrado de ofuscación: cada instancia de Vidar ahora se crea con una firma única gracias a un morfador incorporado. Esto hace que el análisis estático sea prácticamente inútil, ya que los motores antivirus no llegan a adaptarse al código que cambia constantemente. Además se emplea el método de aplanamiento del flujo de control con la implementación de un sistema complejo de conmutación de estados que dificulta la ingeniería inversa. Mecanismos similares se habían observado antes en otros robadores de información, incluido Lumma, lo que apunta a enfoques parecidos en el desarrollo de estas amenazas.
Durante el proceso de infección, Vidar 2.0 realiza primero una serie de comprobaciones —desde la detección de depuradores y entornos sandbox hasta el análisis de las características del hardware—. Si todo es favorable, comienza la recolección de información en paralelo. Los objetivos incluyen contraseñas guardadas, el historial del navegador, cookies, formularios de autocompletado, claves de carteras de criptomonedas, datos de Telegram, Discord, Steam, credenciales de plataformas en la nube, así como el contenido de carpetas y unidades externas.
La herramienta incluso toma capturas de pantalla antes de cifrar y transmitir los datos recopilados al servidor. Para ello utiliza formularios HTTP, canales en Telegram y perfiles de Steam que se emplean como canales de comunicación.
Al finalizar la recolección, el malware cierra los hilos, elimina artefactos temporales y reduce su actividad para complicar al máximo la investigación del incidente. El análisis de especialistas muestra que la arquitectura y el comportamiento de Vidar 2.0 están bien planificados y orientados a un uso encubierto a largo plazo.
Por la combinación de características, Vidar 2.0 podría ocupar la vacante dejada por el debilitamiento de Lumma y convertirse en una de las plataformas maliciosas más demandadas para el robo de datos en el cuarto trimestre de 2025. Teniendo en cuenta la madurez del desarrollo, su adaptabilidad y el precio relativamente bajo (unos 300 dólares), este robador de información ya se ha difundido ampliamente.
Los expertos advierten que, para detectar esta amenaza, es necesario utilizar una protección en capas y herramientas de análisis de comportamiento, además de seguir medidas de higiene digital y gestionar las cuentas con especial cuidado.
Las huellas digitales son tu debilidad, y los hackers lo saben