Os agentes de ameaças por trás do malware Vidar fizeram mudanças em sua infraestrutura de back-end, indicando tentativas de reequipar e ocultar sua trilha online em resposta a divulgações públicas sobre seu modus operandi.

Normalmente fornecido por meio de campanhas de phishing e sites que anunciam software, o malware vem com uma ampla gama de recursos para coletar informações confidenciais de hosts infectados.

Vidar também foi observado para ser distribuído via Google Ads e um carregador de malware apelidado de Bumblebee.

Os operadores da Vidar dividiram sua infraestrutura em duas partes; um dedicado aos seus clientes regulares e outro para a equipe de gestão, e também usuários potencialmente importantes.

Um domínio chave usado pelos atores Vidar é my-odin[.] com, que serve como destino único para gerenciar o painel, autenticar afiliados e compartilhar arquivos.