Hakerzy rozprowadzają złośliwe oprogramowanie Vidar, kusząc użytkowników darmowymi systemami Windows 11

Nowo zarejestrowane domeny phishingowe

W dniu 20 kwietnia zarejestrowano kilka fałszywych nazw domen:

• ms-win11[.]com
• win11-serv[.]com
• win11install[.]com
• ms-teams-app[.]net

Oprócz ataków na YouTuberów, złośliwe oprogramowanie było już wcześniej wykorzystywane do oszukiwania użytkowników VPN.

Złośliwe oprogramowanie Vidar

O tym malware pisaliśmy też niedawno. Był on wykorzystywany do kradzieży portfeli kryptowaultowych. Zwracaliśmy uwagę na to, że podstawową funkcją Vidara jest wykradanie informacji od użytkowników i szpiegowanie ich poczynań.

Poniżej wymieniamy typy danych wykradanych przez ten malware:

• Informacje o systemie operacyjnym
• Dane uwierzytelniające kont online
• Historia przeglądarki
• Informacje finansowe
• Dane bankowe
• Dane logowania do portfela kryptowalutowego

Dystrybucja Vidara

Źródłem dystrybucji Vidara są zazwyczaj zestawy exploitów Fallout. Niemniej z biegiem czasu powstaje coraz to więcej opcji na dystrybucje. Oprócz fałszywych instalatorów systemu Windows 11, hakerzy rozprzestrzeniają złośliwe oprogramowanie również za pośrednictwem wariantów legalnego oprogramowania, takiego jak

• Adobe Photoshop
• Microsoft Teams

Aby uniknąć wykrycia przez antywirusy, plik ISO zawierający plik wykonywalny ma wyjątkowo duży rozmiar (ponad 300 MB).

W tym przypadku do podpisania pliku hakerzy używają wygasłego certyfikatu Avast, który prawdopodobnie został skradziony po naruszeniu bezpieczeństwa tej firmy w październiku 2019 r.

Aby wykraść ważne i poufne dane z zaatakowanych systemów, Vidar nawiązuje połączenie z serwerem C2, a następnie żąda legalnych plików DLL z serwera C2.

Poniżej wymieniamy pliki DLL, które są pobierane:

• sqlite3.dll
• vcruntime140.dll

Oprócz tego zagrożenia hakerzy wykorzystują również Mastodona i Telegrama do zapisania adresu IP serwera C2.

Zalecenia

• Nie pobieraj żadnych plików ani plików instalacyjnych z nieznanych źródeł.
• Zawsze zachowaj ostrożność przed pobieraniem jakichkolwiek nieznanych załączników.
• Nie używaj cracków płatnych aplikacji.
• Zawsze używaj dobrego narzędzia antywirusowego.