Vidar existiert bereits seit 2018 im Cybercrime-Ökosystem, doch erst die jüngsten Sicherheitsoperationen gegen etablierte Konkurrenten katapultierten die Malware an die Spitze des Infostealer-Rankings. Der Macher von Vidar nutzte geschickt den Vakuumeffekt und rollte eine major upgrade plus erweiterte Distributionsnetzwerke genau in dem Moment aus, als Lumma (zerschlagen im Mai 2025) und Rhadamanthys (November 2025) wegfielen. Diese Strategie zahlte sich aus: Heute zählt Vidar auf dem Russian Market – einem der größten Cybercrime-Marktplätze – zu den am häufigsten genutzten Infostealern.
Die Bedrohung geht weit über das bloße Datensammeln hinaus. Vidar operiert als umfassendes Datenextraktionswerkzeug: Das Schadprogramm stiehlt gespeicherte Passwörter, Cookies, Autofill-Daten und Session-Token aus führenden Browsern wie Chrome, Firefox, Edge, Opera, Vivaldi, Waterfox und Palemoon. Kryptowährungs-Wallets bilden einen zusätzlichen Schwerpunkt – die Vidar-Betreiber pflegen Listen mit Browser-Extension-IDs auf eigener Infrastruktur. Daneben erfasst die Malware Screenshots, E-Mail-Daten und lokale Dateien, um ein vollständiges Profil des kompromittierten Systems zu erstellen.
Die Verbreitung erfolgt über bewährte Kanäle: Phishing-Anhänge als vermeintliche Software-Installer, YouTube-Social-Engineering-Kampagnen, ClickFix-Attacken, manipulierte npm-Pakete und gefälschte Spiel-Cheats. Ein entscheidender Wachstumsfaktor sind sogenannte „Cloud”-Kanäle auf Telegram wie Kata Cloud, Poltergeist Cloud, Cron Cloud und Omega Cloud. Dort teilen Cyberkriminelle frei Logs gestohlener Daten – ein Geschäftsmodell, das Vidar massiv bewirbt und neue Kunden anzieht.
Besonders raffiniert ist Viadars Infrastruktur-Sicherung durch „Dead Drop Resolver”: Statt C2-Adressen direkt einzubinden, nutzt die Malware URLs zu legitimen Plattformen wie Telegram. Die tatsächliche C2-Adresse versteckt sich in Profildescriptionen oder Account-Bios – die Malware ruft diese Daten dynamisch ab. Dieses Verfahren umgeht statische Erkennungs- und Blockierungsmechanismen effektiv.
Intrinsec empfiehlt deutschen Organisationen mehrere Schutzmaßnahmen: Multifactor-Authentication für Browser-Konten aktivieren, DNS-Filtering und Web-Gateways gegen bekannte malicious Domains einsetzen sowie Sandbox-Lösungen zur Analyse von E-Mail-Anhängen und URLs deployen. Regelmäßige Employee-Security-Trainings gegen Phishing gehören ebenso dazu wie eine robuste Incident-Response-Strategie – denn wenn Vidar zuschlägt, zählt schnelles Handeln.