伪装成微软 Windows 11 下载门户的欺诈域正试图诱骗用户部署木马安装文件,以使用 Vidar 信息窃取恶意软件感染系统。
Zscaler在一份 告中说: “这些欺骗站点的创建是为了分发恶意 ISO 文件,这些文件会导致端点上的 Vidar 信息窃取程序感染。” “这些 Vidar 恶意软件变种从 Telegram 和 Mastodon 络上托管的攻击者控制的 交媒体渠道获取 C2 配置。”
上个月 4 月 20 日注册的一些流氓分发向量域包括 ms-win11[.]com、win11-serv[.]com、win11install[.]com 和 ms-teams-app[.]net。
此外,这家 络安全公司警告说,假冒活动背后的威胁行为者还利用 Adob?e Photoshop 的后门版本和 Microsoft Teams 等其他合法软件来传播 Vidar 恶意软件。
ISO 文件本身包含一个异常大的可执行文件(超过 300MB),以试图逃避安全解决方案的检测,并使用 Avast 的过期证书进行签名,该证书可能在 2019 年 10 月被盗后被盗。
但嵌入在 330MB 二进制文件中的是一个 3.3MB 大小的可执行文件,即 Vidar 恶意软件,其余文件内容填充了 0x10 字节以人为地扩大大小。
在攻击链的下一阶段,Vidar 建立与远程命令和控制 (C2) 服务器的连接,以检索合法的 DLL 文件,例如 sqlite3.dll 和 vcruntime140.dll,从而从受感染的系统中窃取有价值的数据。
同样值得注意的是威胁行为者滥用 Mastodon 和 Telegram 将 C2 IP 地址存储在攻击者控制的帐户和 区的描述字段中。
这些发现增加了过去一个月发现的用于分发 Vidar 恶意软件的不同方法的列表,其中包括Microsoft 编译的 HTML 帮助 (CHM) 文件和名为 Colibri 的加载程序。
研究人员说:“分发 Vidar 恶意软件的威胁行为者已经证明了他们有能力让 会工程受害者使用与最新流行软件应用程序相关的主题安装 Vidar 窃取程序。”
“与往常一样,用户在从互联 下载软件应用程序时应谨慎,仅从官方供应商 站下载软件。”
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!