Vidar nu på toppen af tronen
Infostealer‑malwaren Vidar har været aktiv siden 2018, men står nu stærkere end nogensinde. Efter internationale myndigheder i 2025 fik lukket konkurrenterne Lumma og Rhadamanthys, har Vidar udnyttet uroen og placeret sig solidt på toppen af markedet.
Ifølge en ny rapport fra det franske cybersikkerhedsfirma Intrinsec er Vidar siden november 2025 blevet den mest anvendte infostealer på Russian Market – en central handelsplads for stjålne konti, cookies og sessionsdata. Det markerer et tydeligt skifte i infostealer‑landskabet.
Det skriver Dark Reading.
Kaos som løftestang
I sin 43 sider lange analyse beskriver Intrinsec, hvordan Vidars udviklere handlede hurtigt, da konkurrenterne blev fjernet. En større opgradering af malwaren kombineret med et udvidet distributionsnetværk gjorde Vidar til et oplagt alternativ for cyberkriminelle, der pludselig stod uden deres foretrukne værktøjer og det udnyttede Vidar til at positionere sig som en fuldgod erstatning.
Bred dataindsamling
Ifølge Dark Readin ligger Vidars styrke i dens alsidighed. Malwaren indsamler adgangskoder, cookies, autofyld‑data og sessions‑tokens fra de fleste udbredte browsere, herunder Chrome, Firefox, Edge og Opera samt mere nicheprægede alternativer. Derudover har Vidar et markant fokus på kryptovaluta. Operatørerne vedligeholder egne lister over browser‑udvidelser til kryptowallets, som aktivt målrettes. Kombineret med funktioner som skærmbilleder, udtræk af maildata og kopiering af lokale filer får angribere et detaljeret indblik i offerets digitale miljø.
Ifølge Intrinsec omsættes de stjålne oplysninger hurtigt på undergrundsmarkeder. De bruges typisk til kontoovertagelse, lateral bevægelse i netværk, privilegieeskalering og i sidste ende udrulning af ransomware eller anden malware – ofte under dække af legitim brugeradfærd.
Effektiv distribution
Vidar distribueres via en bred vifte af kendte metoder. Phishing‑mails med vedhæftede filer forklædt som legitim software er fortsat udbredt, ligesom sociale medier og videoplatforme bruges til at lede brugere videre til kompromitterede downloads. Andre kampagner har benyttet ClickFix‑angreb, manipulerede npm‑pakker og falske spil‑cheats.
En væsentlig drivkraft bag Vidars vækst er samarbejdet med såkaldte “cloud”-kanaler på Telegram, hvor stjålne logfiler deles åbent. Når mange logs stammer fra Vidar, fremstår værktøjet som et standardvalg i miljøet.
Designet til overlevelse
Vidars infrastruktur er bygget med modstandsdygtighed for øje. Operatørerne anvender blandt andet “dead drop resolvers”, hvor kommando‑ og kontroladresser ikke er indlejret i malwaren, men hentes dynamisk fra legitime platforme som Telegram. Det gør blokering vanskeligere og øger chancen for, at infrastrukturen overlever nye nedlukningsforsøg.
Intrinsec vurderer, at Vidar vil forblive en dominerende trussel.
Den høje volumen og de ofte uspecifikke kampagner betyder, at kompromitteringsforsøg vil fortsætte. Klassiske modforanstaltninger som multifaktorgodkendelse, web‑ og DNS‑filtrering samt analyse af vedhæftede filer og links er derfor fortsat afgørende, slutter Dark Reading.