Мошеннические домены, маскирующиеся под портал загрузки Microsoft Windows 11, пытаются обманом заставить пользователей развернуть троянизированные установочные файлы для заражения систем вредоносной программой для кражи информации Vidar.
«Поддельные сайты были созданы для распространения вредоносных файлов ISO, которые приводят к заражению Vidar для кражи информации на конечной точке», — говорится в отчете Zscaler. «Эти варианты вредоносного ПО Vidar извлекают конфигурацию C2 из контролируемых злоумышленниками каналов социальных сетей, размещенных в сети Telegram и Mastodon».
Некоторые из мошеннических векторных доменов распространения, которые были зарегистрированы в прошлом месяце 20 апреля, состоят из ms-win11[.]com, win11-serv[.]com и win11install[.]com, а также ms-teams-app[. ]сеть.
Кроме того, компания по кибербезопасности предупредила, что злоумышленник, стоящий за кампанией по выдаче себя за другое лицо, также использует бэкдоры версий Adobe Photoshop и другого законного программного обеспечения, такого как Microsoft Teams, для доставки вредоносного ПО Vidar.
Файл ISO, со своей стороны, содержит исполняемый файл необычно большого размера (более 300 МБ) в попытке избежать обнаружения решениями безопасности и подписан сертификатом с истекшим сроком действия от Avast, который, вероятно, был украден после взлома последнего в октябре 2019 года.
Но в двоичный файл размером 330 МБ встроен исполняемый файл размером 3,3 МБ, представляющий собой вредоносное ПО Vidar, а остальная часть содержимого файла дополнена 0x10 байтами для искусственного увеличения размера.
На следующем этапе цепочки атак Vidar устанавливает соединения с удаленным сервером управления и контроля (C2) для извлечения законных DLL-файлов, таких как sqlite3.dll и vcruntime140.dll, для кражи ценных данных из скомпрометированных систем.
Также следует отметить злоупотребление Mastodon и Telegram со стороны злоумышленника для сохранения IP-адреса C2 в поле описания контролируемых злоумышленником учетных записей и сообществ.
Полученные результаты дополняют растущий список различных методов, обнаруженных за последний месяц для распространения вредоносного ПО Vidar, включая файлы Microsoft Compiled HTML Help (CHM) и загрузчик Colibri.
«Субъекты угрозы, распространяющие вредоносное ПО Vidar, продемонстрировали свою способность с помощью социальной инженерии заставлять жертв устанавливать похититель Vidar, используя темы, связанные с последними популярными программными приложениями», — заявили исследователи.
Как всегда, пользователи должны быть осторожны при загрузке программных приложений из Интернета и загружать программное обеспечение только с фициальных веб-сайтов поставщиков в этом вопросе вы можете обратиться к нам проверенному поставщику starlab.uz
