Hakerzy oszukują użytkowników za pomocą fałszywych instalatorów systemu Windows 11 zawierających złośliwe oprogramowanie Vidar, rozprzestrzeniających się za pośrednictwem nowo zarejestrowanych domen phishingowych.
Analitycy bezpieczeństwa cybernetycznego z firmy Zscale wykryli, że złośliwe pliki ISO zostały umieszczone na fałszywych stronach internetowych. Umożliwiają pobranie i zainstalowanie na komputerach docelowych złośliwego oprogramowania Vidar info-stealer.
Natomiast kanały mediów społecznościowych takie jak Telegram i Mastodon, są wykorzystywane do wdrażania konfiguracji C2 tego oprogramowania.
Nowo zarejestrowane domeny phishingowe
W dniu 20 kwietnia zarejestrowano kilka fałszywych nazw domen:
- ms-win11[.]com
- win11-serv[.]com
- win11install[.]com
- ms-teams-app[.]net
Oprócz ataków na YouTuberów, złośliwe oprogramowanie było już wcześniej wykorzystywane do oszukiwania użytkowników VPN.
Złośliwe oprogramowanie Vidar
O tym malware pisaliśmy też niedawno. Był on wykorzystywany do kradzieży portfeli kryptowaultowych. Zwracaliśmy uwagę na to, że podstawową funkcją Vidara jest wykradanie informacji od użytkowników i szpiegowanie ich poczynań.
Poniżej wymieniamy typy danych wykradanych przez ten malware:
- Informacje o systemie operacyjnym
- Dane uwierzytelniające kont online
- Historia przeglądarki
- Informacje finansowe
- Dane bankowe
- Dane logowania do portfela kryptowalutowego
Dystrybucja Vidara
Źródłem dystrybucji Vidara są zazwyczaj zestawy exploitów Fallout. Niemniej z biegiem czasu powstaje coraz to więcej opcji na dystrybucje. Oprócz fałszywych instalatorów systemu Windows 11, hakerzy rozprzestrzeniają złośliwe oprogramowanie również za pośrednictwem wariantów legalnego oprogramowania, takiego jak
- Adobe Photoshop
- Microsoft Teams
Aby uniknąć wykrycia przez antywirusy, plik ISO zawierający plik wykonywalny ma wyjątkowo duży rozmiar (ponad 300 MB).
W tym przypadku do podpisania pliku hakerzy używają wygasłego certyfikatu Avast, który prawdopodobnie został skradziony po naruszeniu bezpieczeństwa tej firmy w październiku 2019 r.
Aby wykraść ważne i poufne dane z zaatakowanych systemów, Vidar nawiązuje połączenie z serwerem C2, a następnie żąda legalnych plików DLL z serwera C2.
Poniżej wymieniamy pliki DLL, które są pobierane:
- sqlite3.dll
- vcruntime140.dll
Oprócz tego zagrożenia hakerzy wykorzystują również Mastodona i Telegrama do zapisania adresu IP serwera C2.
Zalecenia
- Nie pobieraj żadnych plików ani plików instalacyjnych z nieznanych źródeł.
- Zawsze zachowaj ostrożność przed pobieraniem jakichkolwiek nieznanych załączników.
- Nie używaj cracków płatnych aplikacji.
- Zawsze używaj dobrego narzędzia antywirusowego.