Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Hakerzy rozprowadzają złośliwe oprogramowanie Vidar, kusząc użytkowników darmowymi systemami Windows 11

Kapitan Hack / Cybernews / Hakerzy rozprowadzają złośliwe oprogramowanie Vidar, kusząc użytkowników darmowymi systemami Windows 11

Hakerzy oszukują użytkowników za pomocą fałszywych instalatorów systemu Windows 11 zawierających złośliwe oprogramowanie Vidar, rozprzestrzeniających się za pośrednictwem nowo zarejestrowanych domen phishingowych.

Analitycy bezpieczeństwa cybernetycznego z firmy Zscale wykryli, że złośliwe pliki ISO zostały umieszczone na fałszywych stronach internetowych. Umożliwiają pobranie i zainstalowanie na komputerach docelowych złośliwego oprogramowania Vidar info-stealer.

Natomiast kanały mediów społecznościowych takie jak Telegram i Mastodon, są wykorzystywane do wdrażania konfiguracji C2 tego oprogramowania.

Autor: 3 min czytania

Nowo zarejestrowane domeny phishingowe

W dniu 20 kwietnia zarejestrowano kilka fałszywych nazw domen:

  • ms-win11[.]com
  • win11-serv[.]com
  • win11install[.]com
  • ms-teams-app[.]net

Oprócz ataków na YouTuberów, złośliwe oprogramowanie było już wcześniej wykorzystywane do oszukiwania użytkowników VPN.


Złośliwe oprogramowanie Vidar

O tym malware pisaliśmy też niedawno. Był on wykorzystywany do kradzieży portfeli kryptowaultowych. Zwracaliśmy uwagę na to, że podstawową funkcją Vidara jest wykradanie informacji od użytkowników i szpiegowanie ich poczynań.

Poniżej wymieniamy typy danych wykradanych przez ten malware:

  • Informacje o systemie operacyjnym
  • Dane uwierzytelniające kont online
  • Historia przeglądarki
  • Informacje finansowe
  • Dane bankowe
  • Dane logowania do portfela kryptowalutowego

Dystrybucja Vidara

Źródłem dystrybucji Vidara są zazwyczaj zestawy exploitów Fallout. Niemniej z biegiem czasu powstaje coraz to więcej opcji na dystrybucje. Oprócz fałszywych instalatorów systemu Windows 11, hakerzy rozprzestrzeniają złośliwe oprogramowanie również za pośrednictwem wariantów legalnego oprogramowania, takiego jak

  • Adobe Photoshop
  • Microsoft Teams

Aby uniknąć wykrycia przez antywirusy, plik ISO zawierający plik wykonywalny ma wyjątkowo duży rozmiar (ponad 300 MB).

W tym przypadku do podpisania pliku hakerzy używają wygasłego certyfikatu Avast, który prawdopodobnie został skradziony po naruszeniu bezpieczeństwa tej firmy w październiku 2019 r.

Aby wykraść ważne i poufne dane z zaatakowanych systemów, Vidar nawiązuje połączenie z serwerem C2, a następnie żąda legalnych plików DLL z serwera C2.

Poniżej wymieniamy pliki DLL, które są pobierane:

  • sqlite3.dll
  • vcruntime140.dll

Oprócz tego zagrożenia hakerzy wykorzystują również Mastodona i Telegrama do zapisania adresu IP serwera C2.


Zalecenia

  • Nie pobieraj żadnych plików ani plików instalacyjnych z nieznanych źródeł.
  • Zawsze zachowaj ostrożność przed pobieraniem jakichkolwiek nieznanych załączników.
  • Nie używaj cracków płatnych aplikacji.
  • Zawsze używaj dobrego narzędzia antywirusowego.

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
4 min czytania wczoraj
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
4 min czytania 19 sie 2025 06:58
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Świat cyberbezpieczeństwa odnotował kolejne znaczące wydarzenie – ujawniono pełny kod źródłowy zaawansowanego trojana bankowego ERMAC V3.0, stworzonego z myślą o urządzeniach z systemem Android i działające...
3 min czytania 8 godziny temu
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Deep Web, czyli warstwa Internetu niedostępna dla standardowych wyszukiwarek, często bywa pomijana w analizach bezpieczeństwa, mimo że stanowi niezwykle wartościowe źródło informacji o zagrożeniach. Jej tre...
5 min czytania 15 sie 2025 06:53
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...
3 min czytania 9 sie 2025 06:13
Popularne
Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?
Miliony laptopów Dell narażone na kompromitację
Od 2016 roku tworzymy zaawansowane rozwiązania IT. Setki wdrożeń i lata doświadczenia pozwalają nam projektować systemy i oferować usługi, które odpowiadają na potrzeby najbardziej wymagających Klientów.
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.