{
	"id": "b14df3cf-6ef4-493d-9c02-711fb5c9bb7c",
	"created_at": "2026-04-06T00:19:59.155256Z",
	"updated_at": "2026-04-10T03:20:02.783503Z",
	"deleted_at": null,
	"sha1_hash": "a05ef655f38b8f980661e09c69573fe22fafe784",
	"title": "Utilisation de faux profils Steam : Vidar Stealer prend les commandes - Gatewatcher",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1458883,
	"plain_text": "Utilisation de faux profils Steam : Vidar Stealer prend les\r\ncommandes - Gatewatcher\r\nArchived: 2026-04-05 22:45:43 UTC\r\nDepuis quelques années, l’utilisation d’infostealer est en forte croissance. Ces outils sont parfois utilisés par les\r\nacteurs malveillants threats actors pour réaliser des accès initiaux sur des systèmes ou pour la collecte de données\r\nqui seront ensuite revendues sur les forums. Les analystes de chez Gatewatcher ont eu l’occasion d’analyser bon\r\nnombre de menaces relatives au vol de données.\r\nEtude du logiciel\r\nC’est dans ce contexte d’analyse, et pour faire suite à un article récent portant sur une technique d’évasion\r\nutilisant des archives zip que nous avons étudié ce logiciel malveillant. \r\nLors de nos analyses quotidiennes, une archive contenant une vidéo de présentation d’un jeu vidéo ludique et un\r\nfichier portable exécutable modifié pour tromper la vigilance de la victime a été observée. Pour cette modification,\r\nl’attaquant a utilisé deux éléments : \r\nL’utilisation de l’extension « .scr » afin de dissimuler l’extension habituelle « .exe » utilisée par ce\r\nmalware. \r\nLa modification de l’icône de l’exécutable. Dans notre cas, l’attaquant a remplacé l’icône de l’exécutable\r\npar celle d’une image, ajoutant également le nom « passeports scan […] » dans le titre, pouvant laisser\r\npenser à l’utilisateur que ce fichier est un scan de passeport. \r\nDans un premier temps, nous avons remarqué que le fichier exécutable était assez lourd. En effet, l’archive\r\ncontenant la vidéo et l’exécutable faisait et occupant environ 70 Mo, il était difficilement concevable que cette\r\narchive contienne un fichier PE de 680Mo.  \r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 1 of 9\n\nLors d’une précédente note, nous avions expliqué comment certains malwares augmentent artificiellement leur\r\ntaille en utilisant du padding. Nous avons donc utilisé la même méthode que celle décrite précédemment pour\r\nenlever le padding et obtenir un fichier plus petit.  \r\nImage 1 : résultat de l’outil permettant de retirer le padding\r\nSuite aux manipulations effectuées, le fichier est réduit à 279Ko, ce qui le rend davantage exploitable pour le reste\r\nde nos analyses. Une fois l’exécutable récupéré, il est envoyé en sandbox pour analyse. Le malware est finalement\r\nidentifié comme une souche de Vidar stealer, un stealer basé sur arkei stealer et permettant le vol et l’exfiltration\r\nde données sensibles telles que des données bancaires, mots de passe et autres éléments stockés dans des\r\nnavigateurs.\r\nRedirection vers le serveur de commande\r\nLors de l’analyse, une particularité du malware a attiré notre attention. En effet, le premier contact du serveur\r\nn’est pas fait sur un serveur de contrôle mais sur deux adresses correspondant à un profil Steam et un Canal\r\nTelegram.  \r\nEn examinant de plus près le nom de joueur du profil Steam contacté, nous voyons que ce dernier utilise un nom\r\naléatoire et une URL contenant une adresse IP, le tout finissant par un pipe. Lorsque nous nous penchons d’un peu\r\nplus près sur l’historique des noms utilisés par ce compte, nous remarquons que ces derniers utilisent un schéma\r\nrécurrent. La seule partie qui diffère correspond à l’adresse IP:\r\n Image 2 : capture du compte steam de redirection\r\nCette technique de changement de nom d’utilisateur pseudo sur Steam permet une modification aisée du serveur\r\nde commande sans avoir à modifier le code malveillant, ce qui représente un gain de temps et facilite la\r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 2 of 9\n\npropagation des implants malveillants. En effet, lorsqu’une infrastructure est identifiée comme un serveur de\r\ncontrôle pour Vidar, il suffit simplement de supprimer le serveur détecté, d’en créer un nouveau et de changer le\r\nnom d’un compte Steam pour modifier la redirection vers le nouveau serveur de commande. Ici, nous pouvons\r\nobserver que seules les adresses IP ont changé. Cette information couplée au nom « goldwing » pourrait nous\r\nindiquer qu’une campagne est en cours et que toutes les machines possédant ces adresses IP font ou ont fait partie\r\nd’une campagne utilisant l’implant analysé.  \r\nCe n’est pas la première fois que nous remarquons l’utilisation de profils Steam (ou de fausses pages de profils\r\nSteam) afin de transmettre l’adresse du serveur de commande au malware. Dans les 6 derniers mois, nous avons\r\nrecensé pas moins de 350 pages de ce type sur Steam. De plus, la majoritéde ces profils utilisent le même schéma :\r\nun nom suivi d’une adresse IP. Voici d’autres exemples de redirection qui ne sont pas liés à notre implant mais qui\r\nsont relatif à vidar stealer : \r\n Image 3 : capture d’autres compte steam de redirection \r\nPassons maintenant au deuxième cas, celui-ci plus habituel, un canal Telegram hébergeant l’URL de redirection\r\nqui sera utilisé dans la suite de l’attaque. Ce Telegram se présente de la manière suivante :\r\nImage 4 : capture du compte telegram de redirection\r\nIl s’agit de la même technique que celle utilisée pour le compte steam utilisant, de surcroît, le même nom,\r\n“goldwing”. Malheureusement, les canaux Telegram ne nous offrent pas les mêmes possibilités en termes\r\nd’historique, et représentent même une complexité supplémentaire pour l’attaquant. En effet, lorsque pour Steam\r\nil suffit d’un email et d’un mot de passe, Telegram lui nécessite un numéro de téléphone ce qui peut être plus\r\ncontraignant pour les attaquants. Ce canal aura été utilisé pendant moins d’un mois par notre implant.  \r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 3 of 9\n\nNous pouvons, dès lors, nous interroger sur la raison d’utiliser Steam et Telegram pour indiquer à l’implant son\r\nserveur de commande.  En dehors de l’agilité que procure ce mode opératoire, il permet également de changer de\r\nserveur de commande lorsque celui-ci est identifié comme malveillant. Cette pratique est utile lorsque l’attaquant\r\ncherche à échapper aux systèmes de détection. \r\nL’avantage supplémentaire de cette méthode est qu’elle évite de renseigner un serveur de commande directement\r\ndans le code du malware.\r\nAnalyse des échanges et des éléments laissés par le malware\r\nPassons maintenant au fonctionnement de l’implant. Dans le cas de Vidar Stealer, le serveur de commande va être\r\nutilisé pour réaliser plusieurs actions : \r\nIndiquer à l’implant quelles capacités déployer \r\nIndiquer aux malwares quelles informations récupérer sur le poste infecté \r\nRécupérer les données volées \r\nDans un premier temps, l’implant va contacter le serveur de commande afin de récupérer son paramétrage et les\r\nDLL nécessaires à son exécution :\r\nImage 5 : commande de paramétrage du C2\r\nPour mieux comprendre les actions à effectuer par l’implant demandé par le serveur, nous nous sommes appuyés\r\nsur l’article « Vidar Stealer H\u0026M Campaign – deep dive analysis of a Vidar Stealer »[1]. En suivant le découpage\r\nexpliqué par l’auteur de l’article, voici ce que nous avons pu extraire des informations qui seront récupérées et\r\nenvoyées au serveur : \r\n3C correspond aux données de référence de l’implant \r\n1,1,1,1,1 cette série de 1 correspond à la configuration de l’extraction (dans notre cas, les mots de passe\r\nlocaux, cookies, portefeuilles crypto, historique du navigateur et les données Telegrams seront extraits) \r\n820c53c3005da334cce09ca619710ee2 correspond au token d’exfiltration \r\n1,1,0, cette deuxième série correspond à l’extraction d’autres données (dans notre cas les données discord\r\net Steam seront extraites mais aucun Screenshot ne sera pris) \r\n1,0 cette troisième série indiqueà l’implant qu’il pourra utiliser un grabber et que pour toutes les extractions\r\nsignifiées précédemment, il n’y aura pas de limite de taille de fichier.  \r\nNone signifie qu’aucun profil en particulier ne sera ciblé \r\n; ,00 signifie qu’aucun répertoire spécifique n’est utilisé par le stealer afin de collecter des données et\r\nqu’aucune limite de taille de données n’est à considérer \r\nUne fois le paramétrage reçu, l’implant procède au téléchargement des DLL nécessaires à son exécution. Les DLL\r\nou Dynamic Link Library sont des bibliothèques qui contiennent du code pouvant être appelé par des programmes,\r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 4 of 9\n\ndans notre cas, par vidar stealer. Voici les DLL qui seront téléchargées dans le répertoire d’exécution du malware\r\n: \r\nvcruntime140.dll \r\nsoftokn3.dll \r\nnss3.dll \r\nmsvcp140.dll \r\nmozglue.dll \r\nfreebl3.dll \r\n Image 6 : capture du tcp stream du telechargement des dll \r\nBien que la plupart de ces DLL sont présentes dans les systèmes Windows, le téléchargement de ces dernières\r\npermet d’échapper aux détections et de minimiser autant que possible, de laisser des traces sur le système infecté.  \r\nPour bien comprendre pourquoi il est intéressant pour l’attaquant de télécharger des DLL, il est nécessaire de\r\ncomprendre l’ordre de recherche de ces fichiers par les programmes. Lorsqu’un programme a besoin de DLL il va\r\nd’abord chercher si elles ne sont pas déjà chargées en mémoire, puis, rechercher dans différents répertoires\r\ncourants accessible par l’utilisateur (en commençant par le répertoire d’exécution du programme), pour enfin,\r\nrechercher dans des répertoires systèmes où sont stockés les DLL, ce qui nécessite, généralement des droits élevés.\r\nLa technique de téléchargement des DLL dans le répertoire d’exécution du programme malveillant permet donc\r\ndeux choses : \r\nS’assurer que l’’environnement du malware est correctement configuré pour pouvoir opérer \r\nNe pas se soucier des droits de l’utilisateur puisque les DLL sont dans le répertoire courant d’utilisation et\r\nde ne pas lever d’alerte relative à l’accession ou la tentative d’accès par un programme inconnu à des\r\nrépertoire nécessitant des droits élevés. \r\nSi vous souhaitez plus de détails sur les techniques d’attaques en lien avec DLL et les contre-mesures associés,\r\nvous pouvez consulter notre cyber threat semester report. \r\nGrâce à ces DLL légitimes, le stealer est enfin prêt à opérer et créer des bases de données SQLite. Dans notre cas,\r\nces bases de données contiennent 4 types de data : \r\nDes données bancaires \r\nDes données relatives à l’historique des navigateurs \r\nLes données des cookies du navigateur \r\nLes données relatives aux mots de passe présents sur le système \r\nVoici un exemple de structure de base utilisé pour sauvegarder des données bancaires:\r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 5 of 9\n\nImage 7 : exemple de structure de table des bases de données du stealer  \r\nCes données sont ensuite envoyées, en clair, sous la forme d’une archive zip encodé en base64, au serveur de\r\ncommande. Cette archive contient les informations de la machine cible et les données volées.  \r\nAfin de comprendre le fonctionnement de cet implant nous avons dû faire appel à plusieurs outils. Lors de nos\r\npremières tentatives de compréhension de son fonctionnement nous avons lancé le stealer dans nos sandbox puis\r\ndans des sandboxs du marché. Alors que dans nos sandbox, nous obtenions la chaine de fonctionnement complète,\r\nles autres environnements de tests s’arrêtaient brusquement après la création des bases de données SQLite. En\r\nanalysant cet arrêt brusque, les codes d’erreurs associés, le code du malware et la littérature autour de cet\r\nexécutable, nous avons pu identifier que certains mécanismes d’évasion des systèmes d’analyses existaient dans le\r\ncode. Dans notre cas, lorsqu’une analyse dynamique avec un debugger était identifié, le malware s’arrêtait en\r\ncréant l’erreur c000005 qui correspond à l’ »Access violation error » qui conduit, dans notre cas, à une corruption\r\nde la mémoire vive. Cette fonctionnalité permet entre autres d’éviter la récupération pour analyse de la RAM lors\r\nde l’exécution du malware. \r\nConclusion\r\nVidar stealer est un des stealer les plus utilisés dans le monde tant pour son efficacité que pour sa facilité de prise\r\nen main. Au travers de cet exemple, nous avons pu montrer comment les attaquants utilisent l’ingénierie sociale\r\nainsi que différentes techniques de dissimulation et d’évasion de détection pour réaliser leurs exactions. Au travers\r\nde l’étude du comportement de vidar, nous avons pu identifier un certain nombre d’éléments nous permettant de\r\nmener des actions de Threat Hunting comme : \r\nLa recherche de compte suivant le pattern décrit précédemment (un nom suivi d’une URL se finissant par\r\nun pipe) dans la communauté Steam \r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 6 of 9\n\nL’apparition de canal Telegram contenant dans la description un même pattern. Que celui des comptes\r\nSteam \r\nCe threat Hunting est très important car il nous permet de construire une base solide de connaissance nécessaire à\r\nl’amélioration des règles de détection. Cette base est également importante sur un autre aspect, elle permet de\r\ndonner du contexte en cas de réponse à incident afin de comprendre au mieux les causes et les potentiels\r\ndommages qui peuvent être engendrés suite à une attaque.  \r\nEn outre, l’intégration du Threat Hunting combiné aux analyses d’indices de compromission intégrés\r\nquotidiennement permet à GATEWATCHER d’alimenter une base de connaissance actionnable dans tous ses\r\nproduits de détections. \r\n[1] « Vidar Stealer H\u0026M Campaign – deep dive analysis of a Vidar Stealer », Threat Analyst \u0026 IR team leader –\r\nMalware Analysis – Blue Team\r\nAuteurs : Purple Team GATEWATCHER et 0xSeeker\r\nAnnexes\r\nTTPs évoqués dans cet article\r\nDétection suricata associée\r\nLors de nos recherches sur les moyens de détection de vidar, nous avons pu observer qu’un certain nombre de\r\nrègles suricata existaient déjà et qu’elles permettaient de détecter les signatures réseaux de Vidar Stealer. Les\r\ncapacités de vidar étant en perpétuelle évolution, nous avons décidé d’ajouter à notre arsenal de détection une\r\nrègle qui nous permettra de détecter l’extraction d’un zip encodé en base64, la voici : \r\nalert http any any -\u003e any any (msg: »PURPLE RULES detection of vidar stealer extraction file via Base64\r\nzip »;flow:established,to_server;http.method; content: »POST »; http.request_body;content: »Content-Disposition:|20|form-data|3B 20|name=|22|hwid|22| »;content: »|0d 0a 0d\r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 7 of 9\n\n0a|UEs »;content: »L2luZm9ybWF0aW9uLnR4d »; distance:0;sid:1000101;rev:1; metadata: provider\r\nGatewatcher, signature_severity Critical, risk 95;) \r\nIoCs\r\nType  iocs  Description \r\nHash  b31d8ed2ec59462f275ed8c3b158c51f \r\nMD5 de l’implant\r\ndécrit dans cet\r\narticle \r\nHash  48f0088e73b22e506efd6fc229b95f5adb87abfc \r\nSHA1 de l’implant\r\ndécrit dans cet\r\narticle \r\nHash  bcb9ad2db4cbbb3dbd270895b570c587a1b59ef15edc388938a40700c6efbeee \r\nSHA256 de\r\nl’implant décrit\r\ndans cet article \r\nUrl  https://t.me/scubytale \r\nCanal telegram\r\nrenseignant le\r\nserveur de\r\ncommande pour le\r\nmalware décris\r\ndans cet article  \r\nUrl  https://steamcommunity.com/profiles/76561199564671869 \r\nCompte Steam\r\nrenseignant le\r\nserveur de\r\ncommande pour le\r\nmalware décris\r\ndans cet article  \r\nUrl  http://23.88.45.254 \r\nUrl du C2 Vidar de\r\nla campagne\r\ngoldwing  \r\nIP  23[.]88[.]45[.]254 \r\n@ip du C2 vidar de\r\nla campagne\r\ngoldwing \r\nUrl  http://49.12.116.189 \r\nUrl du C2 Vidar de\r\nla campagne\r\ngoldwing \r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 8 of 9\n\nIP  49[.]12[.]116[.]189 \r\n@ip du C2 vidar de\r\nla campagne\r\ngoldwing \r\nUrl  http://78.47.219.84 \r\nUrl du C2 Vidar de\r\nla campagne\r\ngoldwing \r\nIP  78[.]47[.]219[.]84 \r\n@ip du C2 vidar de\r\nla campagne\r\ngoldwing \r\nUrl  http://5.75.188.83:3306 \r\nUrl du C2 Vidar de\r\nla campagne\r\ngoldwing utilisé\r\npar cet implant\r\ndans ce rapport \r\nIP  5[.]75[.]188[.]83 \r\n@ip du C2 vidar de\r\nla campagne\r\ngoldwing utilisé\r\npar cet implant\r\ndans ce rapport \r\nUrl  http://128.140.94.214 \r\nUrl du C2 Vidar de\r\nla campagne\r\nlookat \r\nIP  128[.]140[.]94[.]214 \r\n@ip du C2 Vidar\r\nde la campagne\r\nlookat \r\nUrl  http://5.75.142.250 \r\nUrl du C2 Vidar de\r\nla campagne\r\nmyfbook \r\nIP  5[.]75[.]142[.]250 \r\n@ip du C2 Vidar\r\nde la campagne\r\nmyfbook \r\nSource: https://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nhttps://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/\r\nPage 9 of 9\n\nalert http any any zip »;flow:established,to_server;http.method; -\u003e any any (msg: »PURPLE RULES content: detection of »POST »; http.request_body;content: vidar stealer extraction file via »Content\u0002 Base64\nDisposition:|20|form-data|3B 20|name=|22|hwid|22| »;content: »|0d 0a 0d\n  Page 7 of 9",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.gatewatcher.com/lab/utilisation-de-faux-profils-steam-vidar-prend-les-commandes/"
	],
	"report_names": [
		"utilisation-de-faux-profils-steam-vidar-prend-les-commandes"
	],
	"threat_actors": [],
	"ts_created_at": 1775434799,
	"ts_updated_at": 1775791202,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a05ef655f38b8f980661e09c69573fe22fafe784.pdf",
		"text": "https://archive.orkl.eu/a05ef655f38b8f980661e09c69573fe22fafe784.txt",
		"img": "https://archive.orkl.eu/a05ef655f38b8f980661e09c69573fe22fafe784.jpg"
	}
}