Frauduleuze domeinen die zich voordoen als Microsoft’s Windows 11-downloadportal, proberen gebruikers te misleiden om trojan-installatiebestanden te gebruiken om systemen te infecteren met de Vidar-malware voor het stelen van informatie.
“De vervalste sites zijn gemaakt om kwaadaardige ISO-bestanden te verspreiden die leiden tot een Vidar-infostealer-infectie op het eindpunt”, zegt Zscaler. zei in een rapport. “Deze varianten van Vidar-malware halen de C2-configuratie op van door aanvallers gecontroleerde sociale-mediakanalen die worden gehost op het Telegram- en Mastodon-netwerk.”
Sommige van de frauduleuze distributievectordomeinen, die vorige maand op 20 april werden geregistreerd, bestaan uit ms-win11[.]com, win11-serv[.]com, en win11install[.]com en ms-teams-app[.]netto.
Bovendien waarschuwde het cyberbeveiligingsbedrijf dat de dreigingsactor achter de imitatiecampagne ook gebruikmaakt van achterdeurtjes van Adobe Photoshop en andere legitieme software zoals Microsoft Teams om Vidar-malware te leveren.
Het ISO-bestand van zijn kant bevat een uitvoerbaar bestand dat ongewoon groot is (meer dan 300 MB) in een poging om detectie door beveiligingsoplossingen te omzeilen en is ondertekend met een verlopen certificaat van Avast dat waarschijnlijk is gestolen na de overtreding van laatstgenoemde in oktober 2019.
Maar ingebed in het binaire bestand van 330 MB is een uitvoerbaar bestand van 3,3 MB dat de Vidar-malware is, met de rest van de bestandsinhoud opgevuld met 0x10 bytes om de grootte kunstmatig op te drijven.
In de volgende fase van de aanvalsketen brengt Vidar verbindingen tot stand met een externe command-and-control (C2) -server om legitieme DLL-bestanden zoals sqlite3.dll en vcruntime140.dll op te halen om waardevolle gegevens van gecompromitteerde systemen over te hevelen.
Ook opmerkelijk is het misbruik van Mastodon en Telegram door de dreigingsactor om het C2-IP-adres op te slaan in het beschrijvingsveld van de door de aanvaller gecontroleerde accounts en communities.
De bevindingen worden toegevoegd aan een lijst van verschillende methoden die de afgelopen maand zijn ontdekt om de Vidar-malware te verspreiden, waaronder Microsoft Compiled HTML Help (CHM)-bestanden en een loader genaamd Colibri.
“De dreigingsactoren die Vidar-malware verspreiden, hebben aangetoond dat ze in staat zijn om slachtoffers van social engineering te overtuigen om Vidar-stealer te installeren met behulp van thema’s die verband houden met de nieuwste populaire softwaretoepassingen”, aldus de onderzoekers.
“Zoals altijd moeten gebruikers voorzichtig zijn bij het downloaden van softwaretoepassingen van internet en alleen software downloaden van de officiële websites van leveranciers.”
