Wie die meisten verbreiteten Infostealer greift Vidar eine breite Palette sensibler Daten ab. Aus gängigen Browsern wie Chrome, Firefox, Edge, Opera, Vivaldi, Waterfox und Palemoon zieht die Malware gespeicherte Passwörter, Cookies, Autofill-Daten und Sitzungstoken. Ein weiterer Schwerpunkt sind Kryptowährungs-Wallets: Die Betreiber hosten dafür auf eigener Infrastruktur eine kuratierte Liste mit IDs von Wallet-Browsererweiterungen. Darüber hinaus kann Vidar Bildschirmfotos anfertigen, Daten aus E-Mail-Clients sammeln und lokale Dateien abziehen.
Die erbeuteten Zugangsdaten werden laut Intrinsec rasch auf Untergrund-Marktplätzen wie Russian Market zu Geld gemacht. Angreifer nutzen solche Daten typischerweise, um Konten zu übernehmen, sich seitlich im Netzwerk zu bewegen, Ransomware auszubringen, Rechte auszuweiten und weitere Aktionen unter dem Deckmantel eines legitimen Nutzers oder Dienstes auszuführen.
Zur Verbreitung setzen die Angreifer auf verschiedene Methoden. Am häufigsten sind Phishing-Anhänge, die als legitime Software-Installer von Filesharing-Plattformen getarnt sind, sowie Social-Engineering-Köder auf YouTube, die Nutzer über populäre Filesharing-Dienste zu schädlichen Downloads umleiten. Andere Forscher haben zudem ClickFix-Kampagnen, trojanisierte npm-Pakete und gefälschte Spiele-Cheats als Auslieferungswege dokumentiert.
Einen wesentlichen Beitrag zum jüngsten Wachstum leistete laut Intrinsec die Zusammenarbeit der Vidar-Betreiber mit sogenannten „Cloud"-Kanälen auf Telegram — öffentlichen oder halböffentlichen Kanälen, in denen Cyberkriminelle gestohlene Zugangsdaten-Logs frei austauschen. Kanäle mit Namen wie Kata Cloud, Poltergeist Cloud, Cron Cloud und Omega Cloud hätten geholfen, Vidar zu bewerben und neue Kunden zu gewinnen. Abonnenten könnten dadurch den Eindruck gewinnen, dass das Programm zum Datendiebstahl tauge, weil immer mehr Kanäle es einsetzen.
Vidars Infrastruktur ist darauf ausgelegt, Zerschlagungsversuche zu überstehen. Um die Command-and-Control-Systeme (C2) zu verschleiern, nutzen die Betreiber sogenannte „Dead Drop Resolver": Die Malware enthält nicht direkt die C2-Adresse, sondern URLs zu legitimen öffentlichen Plattformen wie Telegram, wo die eigentliche C2-Adresse in einer Profilbeschreibung, einem Beitrag oder einer Konto-Biografie hinterlegt ist. Gelangt Vidar auf ein Opfersystem, ruft es diese URLs ab, um die echten C2-Details dynamisch zu beziehen, und entgeht so der statischen Erkennung und Blockierung.
Zum Schutz empfiehlt Intrinsec unter anderem, für browserbezogene Konten Multifaktor-Authentifizierung zu aktivieren, DNS-Filterung und sichere Web-Gateways zum Sperren bekannter schädlicher Domains und IP-Adressen einzusetzen sowie Sandbox-Lösungen zur Analyse von E-Mail-Anhängen und URLs zu verwenden.