Domain palsu yang menyamar sebagai portal unduhan Microsoft Windows 11 mencoba mengelabui pengguna agar menyebarkan file instalasi trojan untuk menginfeksi sistem dengan malware pencuri informasi Vidar.
“Situs palsu dibuat untuk mendistribusikan file ISO berbahaya yang mengarah pada infeksi pencuri info Vidar di titik akhir,” kata Zscaler dalam sebuah laporan. “Varian malware Vidar ini mengambil konfigurasi C2 dari saluran media sosial yang dikendalikan penyerang yang dihosting di jaringan Telegram dan Mastodon.”
Beberapa domain vektor distribusi nakal, yang didaftarkan bulan lalu pada 20 April, terdiri dari ms-win11[.]com, win11-serv[.]com, dan win11install[.]com, dan ms-teams-app[.]bersih.
Selain itu, perusahaan keamanan siber memperingatkan bahwa aktor ancaman di balik kampanye peniruan identitas juga memanfaatkan versi pintu belakang Adobe Photoshop dan perangkat lunak sah lainnya seperti Microsoft Teams untuk mengirimkan malware Vidar.
File ISO, pada bagiannya, berisi file yang dapat dieksekusi yang berukuran luar biasa besar (lebih dari 300MB) dalam upaya untuk menghindari deteksi oleh solusi keamanan dan ditandatangani dengan sertifikat kedaluwarsa dari Avast yang kemungkinan dicuri setelah pelanggaran terakhir pada Oktober 2019.
Tetapi tertanam dalam biner 330MB adalah executable berukuran 3,3MB yang merupakan malware Vidar, dengan sisa konten file diisi dengan 0x10 byte untuk memperbesar ukuran secara artifisial.
Pada fase berikutnya dari rantai serangan, Vidar membuat koneksi ke server command-and-control (C2) jarak jauh untuk mengambil file DLL yang sah seperti sqlite3.dll dan vcruntime140.dll untuk menyedot data berharga dari sistem yang disusupi.
Juga penting adalah penyalahgunaan Mastodon dan Telegram oleh aktor ancaman untuk menyimpan alamat IP C2 di bidang deskripsi akun dan komunitas yang dikendalikan penyerang.
Temuan ini menambah daftar metode berbeda yang telah ditemukan dalam sebulan terakhir untuk mendistribusikan malware Vidar, termasuk file Microsoft Compiled HTML Help (CHM) dan loader bernama Colibri.
“Para pelaku ancaman yang mendistribusikan malware Vidar telah menunjukkan kemampuan mereka kepada para korban rekayasa sosial untuk menginstal pencuri Vidar menggunakan tema yang terkait dengan aplikasi perangkat lunak populer terbaru,” kata para peneliti.
“Seperti biasa, pengguna harus berhati-hati saat mengunduh aplikasi perangkat lunak dari Internet dan mengunduh perangkat lunak hanya dari situs web vendor resmi.”