Vidar 2.1: Malware knackt Googles Verschlüsselung ABE über Arbeitsspeicher
20.06.2026 - 09:38:12 | boerse-global.de
Statt die Verschlüsselung zu brechen, zapft die Schadsoftware den Arbeitsspeicher des Browsers direkt an.
Sicherheitsforscher von Gen Threat Labs dokumentierten die neue Methode. Vidar Version 2.1 extrahiert demnach Passwörter und Krypto-Geheimnisse aus dem laufenden Chrome-Prozess – obwohl ABE genau das verhindern soll.
So hebelt Vidar den Schutz aus
Anzeige: Vidar 2.1 extrahiert Passwörter direkt aus dem Chrome-Arbeitsspeicher – trotz ABE-Verschlüsselung. Unser kostenloser Report zeigt in 3 Schritten, wie Sie Ihren Browser absichern und die 74 kritischen Lücken schließen. Jetzt Sicherheits-Check anfordern
Der Angriff läuft in mehreren Schritten ab. Zunächst forkt die Malware einen Prozess mithilfe einer Windows-Funktion. Dann scannt sie den Arbeitsspeicher nach einem 32-Byte-Muster, das auf die KeyRing-Struktur von Chrome hinweist.
Die eigentliche Extraktion erfolgt per APC-Injection (Asynchronous Procedure Call). Vidar schleust einen Befehl in den Browser-Prozess ein, der die legitime Funktion CryptUnprotectMemory aufruft. Weil der Aufruf aus dem vertrauenswürdigen Browser-Kontext kommt, hebt Chrome selbst die Verschlüsselung auf.
Die Malware prüft den Erfolg per AES-256-GCM. Nach dem Diebstahl verschlüsselt sie die Daten erneut – zur Tarnung. Schlägt die Extraktion fehl, erzwingt Vidar einen Neustart des Browsers und wiederholt den Vorgang.
Notfall-Update für Chrome
Die Entdeckung kommt zu einem kritischen Zeitpunkt. Google veröffentlichte am heutigen Samstag ein Notfall-Update für Chrome, das 74 Sicherheitslücken schließt. Viele davon gelten als kritisch. Der Schwerpunkt liegt auf Use-After-Free-Speicherfehlern, die eine vollständige Geräteübernahme ermöglichen könnten.
Parallel dazu warnt das Sicherheitsunternehmen Zimperium vor dem Android-Trojaner Rokarolla. Er zielt auf 217 Finanz-Apps ab und nutzt Overlays sowie Keylogger zum Abgreifen von PINs und SMS-Codes. Wie Vidar kann auch Rokarolla die Zwischenablage kapern und Krypto-Adressen bei Transaktionen austauschen.
Edge und Chromium ebenfalls betroffen
Auch Microsoft-Nutzer sind nicht sicher. Edge basiert auf Chromium und weist ähnliche Schwachstellen auf. Die Lücken CVE-2026-12461 und CVE-2026-12455 betreffen Speicherfehler in der WebRTC-Komponente und ermöglichen Remotecodeausführungen.
Anzeige: Auch Edge-Nutzer sind betroffen: Die Chromium-Lücken CVE-2026-12461 und CVE-2026-12455 ermöglichen Remotecodeausführungen. Unser Report listet alle betroffenen Browser und die notwendigen Update-Schritte – inklusive Tool-Liste gegen Speicher-Malware. Browser-Sicherheits-Report jetzt sichern
Der Fix in Edge 126.0.2592.56 erfordert teils manuelle Bestätigung durch die Nutzer.
Microsoft warnt zudem vor der Malware „Crypto Clipper“ (Win32/CryptoBandits). Sie verbreitet sich seit Februar über manipulierte USB-Sticks. Der Trojaner überwacht die Zwischenablage alle 500 Millisekunden auf Seed-Phrasen und private Schlüssel von Krypto-Wallets.
Sicherheitsexperten raten zur sofortigen Installation aller Updates und zu erhöhter Vorsicht bei USB-Sticks und Browser-Erweiterungen.
