Microsoft Windows 11 yuklab olish portali sifatida niqoblangan firibgar domenlar foydalanuvchilarni Vidar maʼlumotlarini oʻgʻirlaydigan zararli dasturlarni yuqtirish uchun troyanlashtirilgan oʻrnatish fayllarini joylashtirishga urinmoqda.
«Soxta saytlar so’nggi nuqtadagi ma’lumotlarni o’g’irlash uchun Vidar infektsiyasiga olib keladigan zararli ISO fayllarini tarqatish uchun yaratilgan», dedi Zscaler hisobotida. «Ushbu Vidar zararli dasturlari C2 konfiguratsiyasini Telegram va Mastodon tarmoqlarida joylashgan tajovuzkorlar tomonidan boshqariladigan ijtimoiy media kanallaridan chiqaradi.»
Oʻtgan oy 20-aprelda roʻyxatga olingan firibgarlik vektor tarqatish domenlarining baʼzilari ms-win11[.]com, win11-serv[.]com va win11install[.]com, shuningdek, ms-teams-app[dan iborat. ]net.
Bundan tashqari, kiberxavfsizlik firmasi taqlid qilish kampaniyasi ortidagi tajovuzkor Vidar zararli dasturlarini yetkazib berish uchun Adobe Photoshop va Microsoft Teams kabi boshqa qonuniy dasturlarning backdoor versiyalaridan ham foydalanayotgani haqida ogohlantirdi.
ISO fayli, oʻz navbatida, xavfsizlik yechimlari tomonidan aniqlanmaslik uchun juda katta hajmdagi bajariladigan faylni (300MB dan ortiq) oʻz ichiga oladi va Avast’dan muddati oʻtgan sertifikat bilan imzolangan boʻlib, 2019-yil oktabr oyida buzgʻunchilikdan keyin oʻgʻirlangan.
Ammo 330 MB ikkilik faylda 3,3 MB bajariladigan fayl mavjud bo’lib, unga Vidar zararli dasturi o’rnatilgan va faylning qolgan mazmuni hajmini sun’iy ravishda oshirish uchun 0x10 bayt bilan to’ldirilgan.
Hujum zanjirining keyingi bosqichida Vidar buzilgan tizimlardan qimmatli ma’lumotlarni o’g’irlash uchun sqlite3.dll va vcruntime140.dll kabi qonuniy DLL fayllarni chiqarish uchun masofaviy buyruq va boshqaruv (C2) serveriga ulanish o’rnatadi.
Shuningdek, tajovuzkor tomonidan nazorat qilinadigan akkauntlar va jamoalarning tavsif maydonida C2 IP-manzilini saqlash uchun Mastodon va Telegram’dan noto‘g‘ri foydalanish ham e’tiborga molik.
Topilmalar Vidar zararli dasturlarini, shu jumladan Microsoft Compiled HTML Help (CHM) fayllari va Colibri yuklab oluvchisini tarqatish uchun so‘nggi oyda topilgan turli usullarning ortib borayotgan ro‘yxatiga qo‘shildi.
«Vidar zararli dasturlarini tarqatuvchi tahdid aktyorlari so’nggi mashhur dasturiy ilovalar bilan bog’liq mavzulardan foydalangan holda Vidar o’g’irlovchisini o’rnatish uchun qurbonlarni ijtimoiy muhandislik qilish qobiliyatini namoyish etdi», dedi tadqiqotchilar.
Har doimgidek, foydalanuvchilar Internetdan dasturiy ilovalarni yuklab olishda ehtiyot bo’lishlari va dasturiy ta’minotni faqat ishlab chiqaruvchilarning rasmiy veb-saytlaridan yuklab olishlari kerak, bu borada ishonchli sotuvchimiz starlab.uz bilan bog’lanishingiz mumkin.
