Hakerzy rozprowadzają złośliwe oprogramowanie Vidar, kusząc użytkowników darmowymi systemami Windows 11

Hakerzy oszukują użytkowników za pomocą fałszywych instalatorów systemu Windows 11 zawierających złośliwe oprogramowanie Vidar, rozprzestrzeniających się za pośrednictwem nowo zarejestrowanych domen phishingowych.

Analitycy bezpieczeństwa cybernetycznego z firmy Zscale wykryli, że złośliwe pliki ISO zostały umieszczone na fałszywych stronach internetowych. Umożliwiają pobranie i zainstalowanie na komputerach docelowych złośliwego oprogramowania Vidar info-stealer.

Natomiast kanały mediów społecznościowych takie jak Telegram i Mastodon, są wykorzystywane do wdrażania konfiguracji C2 tego oprogramowania.

Autor: Kapitan Hack Data dodania: 24 maj 2022 09:49 3 min czytania

Nowo zarejestrowane domeny phishingowe

W dniu 20 kwietnia zarejestrowano kilka fałszywych nazw domen:

ms-win11[.]com
win11-serv[.]com
win11install[.]com
ms-teams-app[.]net

Oprócz ataków na YouTuberów, złośliwe oprogramowanie było już wcześniej wykorzystywane do oszukiwania użytkowników VPN.

Złośliwe oprogramowanie Vidar

O tym malware pisaliśmy też niedawno. Był on wykorzystywany do kradzieży portfeli kryptowaultowych. Zwracaliśmy uwagę na to, że podstawową funkcją Vidara jest wykradanie informacji od użytkowników i szpiegowanie ich poczynań.

Poniżej wymieniamy typy danych wykradanych przez ten malware:

Informacje o systemie operacyjnym
Dane uwierzytelniające kont online
Historia przeglądarki
Informacje finansowe
Dane bankowe
Dane logowania do portfela kryptowalutowego

Dystrybucja Vidara

Źródłem dystrybucji Vidara są zazwyczaj zestawy exploitów Fallout. Niemniej z biegiem czasu powstaje coraz to więcej opcji na dystrybucje. Oprócz fałszywych instalatorów systemu Windows 11, hakerzy rozprzestrzeniają złośliwe oprogramowanie również za pośrednictwem wariantów legalnego oprogramowania, takiego jak

Adobe Photoshop
Microsoft Teams

Aby uniknąć wykrycia przez antywirusy, plik ISO zawierający plik wykonywalny ma wyjątkowo duży rozmiar (ponad 300 MB).

W tym przypadku do podpisania pliku hakerzy używają wygasłego certyfikatu Avast, który prawdopodobnie został skradziony po naruszeniu bezpieczeństwa tej firmy w październiku 2019 r.

Aby wykraść ważne i poufne dane z zaatakowanych systemów, Vidar nawiązuje połączenie z serwerem C2, a następnie żąda legalnych plików DLL z serwera C2.

Poniżej wymieniamy pliki DLL, które są pobierane:

sqlite3.dll
vcruntime140.dll

Oprócz tego zagrożenia hakerzy wykorzystują również Mastodona i Telegrama do zapisania adresu IP serwera C2.

Zalecenia

Nie pobieraj żadnych plików ani plików instalacyjnych z nieznanych źródeł.
Zawsze zachowaj ostrożność przed pobieraniem jakichkolwiek nieznanych załączników.
Nie używaj cracków płatnych aplikacji.
Zawsze używaj dobrego narzędzia antywirusowego.