Betrügerische Domains, die sich als Microsofts Windows 11 Download-Portal ausgeben, versuchen, Nutzer/innen dazu zu verleiten, trojanisierte Installationsdateien zu installieren, um Systeme mit der Vidar Information Stealer Malware zu infizieren.
„Die gefälschten Seiten wurden erstellt, um bösartige ISO-Dateien zu verbreiten, die zu einer Vidar-Informationsdiebstahl-Infektion auf dem Endpunkt führen“, so Zscaler in einem Bericht. „Diese Varianten der Vidar-Malware holen sich die C2-Konfiguration aus von Angreifern kontrollierten Social-Media-Kanälen, die auf Telegram und im Mastodon-Netzwerk gehostet werden.
Einige der Domains des Verbreitungsvektors, die letzten Monat am 20. April registriert wurden, sind ms-win11[.]com, win11-serv[.]com und win11install[.]com sowie ms-teams-app[.]net.
Darüber hinaus warnte das Cybersecurity-Unternehmen, dass der Bedrohungsakteur, der hinter der Imitationskampagne steckt, auch gefälschte Versionen von Adobe Photoshop und anderer legitimer Software wie Microsoft Teams nutzt, um die Vidar-Malware zu verbreiten.
Die ISO-Datei wiederum enthält eine ungewöhnlich große ausführbare Datei (über 300 MB), die versucht, sich der Erkennung durch Sicherheitslösungen zu entziehen, und ist mit einem abgelaufenen Zertifikat von Avast signiert, das wahrscheinlich nach der Sicherheitsverletzung im Oktober 2019 gestohlen wurde.
In der 330 MB großen Binärdatei ist eine 3,3 MB große ausführbare Datei eingebettet, bei der es sich um die Vidar-Malware handelt. Der Rest der Datei wurde mit 0x10 Bytes aufgefüllt, um die Größe künstlich zu erhöhen.
In der nächsten Phase der Angriffskette stellt Vidar Verbindungen zu einem entfernten Command-and-Control (C2)-Server her, um legitime DLL-Dateien wie sqlite3.dll und vcruntime140.dll abzurufen und wertvolle Daten von den angegriffenen Systemen abzuschöpfen.
Bemerkenswert ist auch der Missbrauch von Mastodon und Telegram durch den Bedrohungsakteur, um die C2-IP-Adresse im Beschreibungsfeld der vom Angreifer kontrollierten Accounts und Communities zu speichern.
Die Ergebnisse ergänzen die Liste der verschiedenen Methoden, die in den letzten Monaten zur Verbreitung der Vidar-Malware aufgedeckt wurden, darunter Microsoft Compiled HTML Help (CHM)-Dateien und ein Loader namens Colibri.
„Die Bedrohungsakteure, die die Vidar-Malware verbreiten, haben bewiesen, dass sie in der Lage sind, ihre Opfer durch Social Engineering dazu zu bringen, den Vidar-Stealer zu installieren.
„Wie immer sollten Nutzer/innen beim Herunterladen von Softwareanwendungen aus dem Internet vorsichtig sein und Software nur von den offiziellen Websites der Hersteller herunterladen.