
Hakerzy rozprowadzają złośliwe oprogramowanie Vidar, kusząc użytkowników darmowymi systemami Windows 11
Hakerzy oszukują użytkowników za pomocą fałszywych instalatorów systemu Windows 11 zawierających złośliwe oprogramowanie Vidar, rozprzestrzeniających się za pośrednictwem nowo zarejestrowanych domen phishingowych.
Analitycy bezpieczeństwa cybernetycznego z firmy Zscale wykryli, że złośliwe pliki ISO zostały umieszczone na fałszywych stronach internetowych. Umożliwiają pobranie i zainstalowanie na komputerach docelowych złośliwego oprogramowania Vidar info-stealer.
Natomiast kanały mediów społecznościowych takie jak Telegram i Mastodon, są wykorzystywane do wdrażania konfiguracji C2 tego oprogramowania.
Nowo zarejestrowane domeny phishingowe
W dniu 20 kwietnia zarejestrowano kilka fałszywych nazw domen:
- ms-win11[.]com
- win11-serv[.]com
- win11install[.]com
- ms-teams-app[.]net
Oprócz ataków na YouTuberów, złośliwe oprogramowanie było już wcześniej wykorzystywane do oszukiwania użytkowników VPN.
Złośliwe oprogramowanie Vidar
O tym malware pisaliśmy też niedawno. Był on wykorzystywany do kradzieży portfeli kryptowaultowych. Zwracaliśmy uwagę na to, że podstawową funkcją Vidara jest wykradanie informacji od użytkowników i szpiegowanie ich poczynań.
Poniżej wymieniamy typy danych wykradanych przez ten malware:
- Informacje o systemie operacyjnym
- Dane uwierzytelniające kont online
- Historia przeglądarki
- Informacje finansowe
- Dane bankowe
- Dane logowania do portfela kryptowalutowego
Dystrybucja Vidara
Źródłem dystrybucji Vidara są zazwyczaj zestawy exploitów Fallout. Niemniej z biegiem czasu powstaje coraz to więcej opcji na dystrybucje. Oprócz fałszywych instalatorów systemu Windows 11, hakerzy rozprzestrzeniają złośliwe oprogramowanie również za pośrednictwem wariantów legalnego oprogramowania, takiego jak
- Adobe Photoshop
- Microsoft Teams
Aby uniknąć wykrycia przez antywirusy, plik ISO zawierający plik wykonywalny ma wyjątkowo duży rozmiar (ponad 300 MB).
W tym przypadku do podpisania pliku hakerzy używają wygasłego certyfikatu Avast, który prawdopodobnie został skradziony po naruszeniu bezpieczeństwa tej firmy w październiku 2019 r.
Aby wykraść ważne i poufne dane z zaatakowanych systemów, Vidar nawiązuje połączenie z serwerem C2, a następnie żąda legalnych plików DLL z serwera C2.
Poniżej wymieniamy pliki DLL, które są pobierane:
- sqlite3.dll
- vcruntime140.dll
Oprócz tego zagrożenia hakerzy wykorzystują również Mastodona i Telegrama do zapisania adresu IP serwera C2.
Zalecenia
- Nie pobieraj żadnych plików ani plików instalacyjnych z nieznanych źródeł.
- Zawsze zachowaj ostrożność przed pobieraniem jakichkolwiek nieznanych załączników.
- Nie używaj cracków płatnych aplikacji.
- Zawsze używaj dobrego narzędzia antywirusowego.