Microsoft’un Windows 11 indirme portalı gibi görünen sahte etki alanları, Vidar bilgi hırsızı kötü amaçlı yazılımıyla sistemlere bulaşmak için kullanıcıları truva atlı yükleme dosyalarını dağıtmaya kandırmaya çalışıyor.
Zscaler, “Sahte siteler, uç noktada bir Vidar bilgi hırsızı enfeksiyonuna yol açan kötü amaçlı ISO dosyalarını dağıtmak için oluşturuldu.” dedim bir raporda. “Vidar kötü amaçlı yazılımının bu türevleri, C2 yapılandırmasını Telegram ve Mastodon ağında barındırılan saldırgan kontrollü sosyal medya kanallarından alıyor.”
Geçen ay 20 Nisan’da kaydedilen hileli dağıtım vektör alanlarından bazıları ms-win11’den oluşuyor.[.]com, win11-serv[.]com ve win11install[.]com ve ms-teams-app[.]ağ.
Ayrıca siber güvenlik firması, kimliğe bürünme kampanyasının arkasındaki tehdit aktörünün, Vidar kötü amaçlı yazılımı sunmak için Adobe Photoshop’un arka kapılı sürümlerinden ve Microsoft Teams gibi diğer meşru yazılımlardan da yararlandığı konusunda uyardı.
ISO dosyası, kendi adına, güvenlik çözümlerinin algılamasından kaçınmak amacıyla alışılmadık derecede büyük boyutlu (300 MB’ın üzerinde) bir yürütülebilir dosya içerir ve Avast’tan muhtemelen çalınmış, süresi dolmuş bir sertifika ile imzalanmıştır. sonuncusunun ihlali Ekim 2019’da.
Ancak 330MB ikili dosyanın içine gömülü olan, Vidar kötü amaçlı yazılımı olan 3.3MB boyutunda bir yürütülebilir dosyadır ve dosya içeriğinin geri kalanı, boyutu yapay olarak şişirmek için 0x10 bayt ile doldurulur.
Saldırı zincirinin bir sonraki aşamasında, Vidar, tehlikeli sistemlerden değerli verileri sifonlamak için sqlite3.dll ve vcruntime140.dll gibi meşru DLL dosyalarını almak için uzak bir komuta ve kontrol (C2) sunucusuna bağlantılar kurar.
Ayrıca, tehdit aktörü tarafından C2 IP adresini saldırgan kontrollü hesapların ve toplulukların açıklama alanında saklamak için Mastodon ve Telegram’ın kötüye kullanılması da dikkate değerdir.
Bulgular, Microsoft Derlenmiş HTML Yardımı (CHM) dosyaları ve Colibri adlı bir yükleyici de dahil olmak üzere, Vidar kötü amaçlı yazılımını dağıtmak için geçen ay ortaya çıkarılan farklı yöntemlerin bir listesine eklendi.
Araştırmacılar, “Vidar kötü amaçlı yazılımını dağıtan tehdit aktörleri, sosyal mühendis kurbanlarına en son popüler yazılım uygulamalarıyla ilgili temaları kullanarak Vidar hırsızı yükleme yeteneklerini kanıtladılar” dedi.
“Her zaman olduğu gibi, kullanıcılar internetten yazılım uygulamaları indirirken dikkatli olmalı ve yazılımları yalnızca resmi satıcı web sitelerinden indirmelidir.”