Vidar 2.0: vírus usa trapaças ‘falsas’ para roubar dados

Pesquisadores de segurança da Acronis Threat Research Unit identificaram uma campanha global de roubo de dados que mira jogadores de videogame. O ataque usa cheats falsos como isca, e o malware se chama Vidar Stealer 2.0.

A ameaça já circula em plataformas como GitHub e Reddit. Pesquisadores acreditam que milhares de usuários já foram afetados, com centenas de repositórios maliciosos encontrados.

O que é o Vidar Stealer 2.0

O Vidar é um infostealer, um malware que entra no computador da vítima e copia tudo que tem valor. Ele existe desde 2018, mas era ofuscado por tecnologias concorrentes, como Lumma e Rhadamanthys.

No entanto, com ações policiais que derrubaram as operações de ambas campanhas, o Vidar ganhou força. Em outubro de 2025, o infostealer ganhou uma atualização, com a versão 2.0.

O programa funciona no modelo chamado Malware-as-a-Service. Em outras palavras, isso significa que qualquer criminoso pode alugar o vírus mediante pagamento – os planos variam entre 130 e 750 dólares. Quem paga recebe o vírus pronto para usar, além de suporte técnico dos desenvolvedores.

Quem são os alvos

A escolha dos gamers como alvo não é por acaso. Quem busca um cheat gratuito já está disposto a baixar arquivos de fontes não oficiais. Contudo, esses arquivos costumam acionar alertas do antivírus – o jogador, porém, ignora os avisos. Ele acredita que o alerta é falso, porque cheats precisam burlar sistemas de proteção dos próprios jogos.

Essa lógica é exatamente a armadilha. O criminoso não precisa convencer a vítima de nada, ela já chegou predisposta a desativar as proteções sozinha.

Além disso, quem foi infectado enquanto tentava trapacear raramente reporta o crime. O constrangimento de admitir que tentava usar cheat funciona como proteção extra para os atacantes. A Acronis TRU, empresa responsável pela descoberta, aponta que jovens e adolescentes estão desproporcionalmente entre as vítimas.

Como o ataque acontece

A campanha começa com uma publicação em um subreddit ou servidor do Discord voltado para cheats de jogos. A publicação parece normal. Ela promove um cheat gratuito para jogos como Counter-Strike 2 ou Fortnite e direciona a vítima para uma página no GitHub.

O GitHub é uma plataforma legítima, usada por desenvolvedores. Os criminosos exploram essa reputação para parecer confiáveis. Os links maliciosos ficam escondidos dentro de imagens, o que dificulta a detecção automática pela própria plataforma.

A vítima clica, baixa um arquivo e o executa. O arquivo tem nomes que soam como ferramentas de jogos, como TempSpoofer.exe ou EzFrags_Private.zip. A partir desse momento, uma sequência de ações começa a acontecer de forma invisível.

O que acontece depois do clique

O arquivo baixado não é o vírus principal. Ele é um loader, um programa intermediário cuja função é preparar o terreno. Esse loader é um script PowerShell disfarçado de executável comum.

A primeira coisa que o loader faz é criar uma exceção no Windows Defender, o antivírus nativo do sistema. A exceção instrui o Defender a ignorar completamente uma pasta específica. Qualquer arquivo colocado nessa pasta passa a ser invisível para o antivírus.

Em seguida, o loader acessa o Pastebin, um site legítimo de compartilhamento de textos. Dentro de uma página pública no Pastebin está o endereço do próximo arquivo a ser baixado. Usar serviços legítimos assim é uma técnica deliberada. O tráfego se mistura com o uso normal da internet e não levanta suspeitas.

O loader então cria uma pasta oculta dentro do sistema da vítima e baixa o arquivo final – esse arquivo é o Vidar 2.0. Antes de encerrá-lo, o loader ainda cria uma tarefa agendada chamada SystemBackgroundUpdate. Essa tarefa instrui o Windows a executar o vírus automaticamente toda vez que a vítima fizer login. O computador reiniciado não resolve o problema.

O que o Vidar rouba

Assim que entra em execução, o Vidar 2.0 vasculha o computador da vítima em múltiplas frentes ao mesmo tempo. Nos navegadores, ele extrai senhas, cookies e dados de preenchimento automático. Os cookies são especialmente valiosos porque permitem acessar contas sem precisar da senha.

Discord, Telegram e Steam também são alvos, com o roubo de tokens de login que funcionam como chaves de acesso permanentes. Carteiras de criptomoeda, credenciais de ferramentas de acesso a servidores e tokens do Microsoft Azure completam a lista.

Uma única infecção em um funcionário de TI pode comprometer a infraestrutura de uma empresa inteira. Por fim, o vírus tira uma captura de tela da área de trabalho e a envia aos criminosos para identificar alvos de maior valor.

Por que é tão difícil detectar

O Vidar 2.0 foi reescrito para escapar dos antivírus. Cada cópia gerada é estruturalmente diferente da anterior, o que impede a detecção por comparação com ameaças conhecidas.

O vírus também verifica a quantidade de memória RAM disponível. Se o valor for inferior a 2 GB, ele interpreta isso como ambiente de análise e se encerra sem fazer nada. A comunicação com os criminosos acontece disfarçada dentro do tráfego normal do Telegram e da Steam, sem levantar suspeitas na rede.

Quem está em risco

O alvo mais visível são os jogadores jovens. Mas qualquer pessoa que use o mesmo computador para jogar e para trabalhar está potencialmente exposta a uma brecha corporativa.

Infraestruturas empresariais, ambientes de computação em nuvem e redes internas de empresas estão todos na linha de risco. A Acronis TRU ressalta que a escala da campanha é provavelmente maior do que o observado até agora.

O que fazer

Pesquisadores ressaltam que nenhuma vantagem em um jogo vale o risco de expor contas bancárias, carteiras de criptomoeda e redes corporativas. Para se prevenir, é possível seguir algumas recomendações.

• Baixar programas apenas de fontes oficiais e verificadas;
• Manter o sistema operacional e o antivírus atualizados;
• Usar senhas diferentes para cada serviço;
• Ativar a verificação em duas etapas em todas as contas.