曾長期潛伏的資訊竊取惡意軟體（Infostealer）Vidar，自2025年下半年起迅速竄升，成為俄羅斯地下市場最受歡迎的竊密工具。法執機構去年接連瓦解Lumma與Rhadamanthys兩大龍頭後，Vidar趁勢填補市場空白，其開發者適時推出重大升級並擴大分銷網絡，讓它一躍成為網路犯罪圈的熱門選擇，對台灣企業與個人用戶的憑證安全構成新威脅。

 

法國資安公司Intrinsec於最新43頁報告中指出，自2025年11月以來，Vidar已在Russian Market等地下市場穩居Infostealer使用率第一，成功取代先前霸主Lumma（2025年5月遭瓦解）與Rhadamanthys（2025年11月遭瓦解）。Intrinsec形容：「混亂是階梯，Vidar成功利用競爭對手被掃蕩後的市場不穩定，一舉登上竊密生態系頂端。」

 

Vidar自2018年登場以來，本為中階Infostealer，但過去一年展現驚人成長動能。其客戶群已擴及高調威脅組織，包括Scattered Spider等知名團夥，意味著更多攻擊者正將Vidar部署於企業網路攻擊中。Intrinsec警告，由於Vidar樣本量龐大且發動無差別全球攻擊，台灣企業未來將持續遭遇其入侵嘗試。

 

Vidar的核心能力是廣泛且高效的憑證蒐集。它能從Chrome、Firefox、Edge、Opera、Vivaldi、Waterfox與Palemoon等主流瀏覽器中，竊取已儲存密碼、Cookie、自動填寫資料與工作階段權杖。針對加密貨幣，Vidar維護一份精心策劃的瀏覽器擴充功能ID清單，可針對熱門錢包擴充程式進行針對性攻擊。此外，它還能截取螢幕畫面、蒐集電子郵件客戶端資料，並外洩本地檔案，讓攻擊者快速掌握受害者環境全貌。

 

被竊取的憑證通常迅速在Russian Market等地下平台貨幣化。犯罪者可利用這些資料接管帳戶、在企業內網橫向移動、部署勒索軟體、提升權限，或以合法使用者身分執行其他惡意行動，對企業造成嚴重後果。

 

Intrinsec指出，Vidar的崛起與其開發者的策略性布局密切相關。在競爭對手遭執法行動重創期間，Vidar不僅推出重大功能升級，還積極拓展分銷網絡。其中最關鍵的推手是與Telegram「Cloud」頻道合作。這些公開或半公開的犯罪頻道（如Kata Cloud、Poltergeist Cloud、Cron Cloud、Omega Cloud）專門分享竊取的憑證日誌，同時成為Vidar的最佳廣告平台。訂閱這些頻道的犯罪者看到越來越多成功案例使用Vidar，自然會將其視為可靠選擇，進一步加速其市場滲透。

 

攻擊者部署Vidar的手法多樣且持續演進。最常見方式包括偽裝成合法軟體安裝檔的釣魚附件，透過檔案分享平台散布；或在YouTube發布社群工程誘餌，引導用戶點擊惡意下載連結。其他已知手法還包括ClickFix活動、遭污染的npm套件，以及假遊戲作弊檔等。這些低門檻分發方式，讓Vidar得以大規模感染一般用戶與企業端點。

 

Vidar的基礎設施也展現高度抗打擊能力。為躲避執法與防禦封鎖，其營運者採用「dead drop resolvers」技術：惡意程式本身不直接內嵌C2（命令與控制）伺服器位址，而是包含指向Telegram等合法公開平台的URL。當Vidar感染受害系統後，會先連線這些合法URL，再從頻道簡介、貼文或帳號簡介中動態取得真實C2資訊。此設計大幅提升了靜態偵測與阻擋的難度。

 

Intrinsec報告強調，Vidar的高容量、無差別攻擊特性，使其成為企業網路的最大隱憂之一。台灣作為全球科技與半導體重鎮，擁有大量遠端工作者與混合辦公環境，使用Windows與主流瀏覽器的企業比例極高，特別容易成為Vidar的目標。金融機構、科技公司、製造業與政府機關若遭Vidar入侵，瀏覽器憑證與加密貨幣錢包外洩可能導致帳戶遭接管、智慧財產外流或供應鏈攻擊。

 

面對Vidar的快速崛起，Intrinsec提出以下防禦建議：

 

台灣企業應立即展開以下具體行動：全面稽核公司與員工個人裝置的瀏覽器安全設定，強制啟用MFA並禁用不必要的擴充功能；部署企業級DNS安全服務，封鎖常見Infostealer C2基礎設施；推動定期憑證輪替政策，尤其針對高權限帳戶；並將Vidar相關IoC（入侵指標）導入SIEM與EDR系統，建立即時警報機制。

 

此外，台灣資安單位與企業應密切關注Telegram Cloud頻道的動態，雖然無法完全阻絕，但可透過情資分享提前掌握新興攻擊趨勢。隨著AI工具普及，未來Infostealer可能進一步結合AI生成誘餌，提升社群工程成功率，台灣企業需提前布局防禦。

 

Vidar的成功崛起，再度凸顯資安生態系的「真空效應」：只要主要玩家遭掃蕩，立即有後起之秀填補空缺，且往往更具韌性。對台灣而言，這意味著不能只仰賴被動防禦，而必須建立主動威脅狩獵與持續監控機制。尤其在當前地緣情勢下，任何憑證外洩都可能被國家級或犯罪團夥用於更複雜的供應鏈攻擊。

 

Intrinsec報告提醒，Vidar並非孤立威脅，而是整個Infostealer市場混亂重組的縮影。台灣企業若能在Vidar成為「新常態」前強化防線，將能大幅降低被竊密與後續攻擊的風險。目前Vidar仍在快速演進中，資安團隊應持續追蹤Intrinsec、Kaspersky等研究單位最新情資，保持高度警戒。

 

 

出處：本文根據Dark Reading特約記者Jai Vijayan於2026年4月29日刊登的報導《Vidar Rises to Top of Chaotic Infostealer Market》改寫整理。