Hakerzy oszukują użytkowników za pomocą fałszywych instalatorów systemu Windows 11 zawierających złośliwe oprogramowanie Vidar, rozprzestrzeniających się za pośrednictwem nowo zarejestrowanych domen phishingowych.

Analitycy bezpieczeństwa cybernetycznego z firmy Zscale wykryli, że złośliwe pliki ISO zostały umieszczone na fałszywych stronach internetowych. Umożliwiają pobranie i zainstalowanie na komputerach docelowych złośliwego oprogramowania Vidar info-stealer.

Natomiast kanały mediów społecznościowych takie jak Telegram i Mastodon, są wykorzystywane do wdrażania konfiguracji C2 tego oprogramowania.


Nowo zarejestrowane domeny phishingowe

W dniu 20 kwietnia zarejestrowano kilka fałszywych nazw domen:

  • ms-win11[.]com
  • win11-serv[.]com
  • win11install[.]com
  • ms-teams-app[.]net

Oprócz ataków na YouTuberów, złośliwe oprogramowanie było już wcześniej wykorzystywane do oszukiwania użytkowników VPN.


Złośliwe oprogramowanie Vidar

O tym malware pisaliśmy też niedawno. Był on wykorzystywany do kradzieży portfeli kryptowaultowych. Zwracaliśmy uwagę na to, że podstawową funkcją Vidara jest wykradanie informacji od użytkowników i szpiegowanie ich poczynań.

Poniżej wymieniamy typy danych wykradanych przez ten malware:

  • Informacje o systemie operacyjnym
  • Dane uwierzytelniające kont online
  • Historia przeglądarki
  • Informacje finansowe
  • Dane bankowe
  • Dane logowania do portfela kryptowalutowego

Dystrybucja Vidara

Źródłem dystrybucji Vidara są zazwyczaj zestawy exploitów Fallout. Niemniej z biegiem czasu powstaje coraz to więcej opcji na dystrybucje. Oprócz fałszywych instalatorów systemu Windows 11, hakerzy rozprzestrzeniają złośliwe oprogramowanie również za pośrednictwem wariantów legalnego oprogramowania, takiego jak

  • Adobe Photoshop
  • Microsoft Teams

Aby uniknąć wykrycia przez antywirusy, plik ISO zawierający plik wykonywalny ma wyjątkowo duży rozmiar (ponad 300 MB).

W tym przypadku do podpisania pliku hakerzy używają wygasłego certyfikatu Avast, który prawdopodobnie został skradziony po naruszeniu bezpieczeństwa tej firmy w październiku 2019 r.

Aby wykraść ważne i poufne dane z zaatakowanych systemów, Vidar nawiązuje połączenie z serwerem C2, a następnie żąda legalnych plików DLL z serwera C2.

Poniżej wymieniamy pliki DLL, które są pobierane:

  • sqlite3.dll
  • vcruntime140.dll

Oprócz tego zagrożenia hakerzy wykorzystują również Mastodona i Telegrama do zapisania adresu IP serwera C2.


Zalecenia

  • Nie pobieraj żadnych plików ani plików instalacyjnych z nieznanych źródeł.
  • Zawsze zachowaj ostrożność przed pobieraniem jakichkolwiek nieznanych załączników.
  • Nie używaj cracków płatnych aplikacji.
  • Zawsze używaj dobrego narzędzia antywirusowego.

Podziel się z innymi tym artykułem!