Hacker lừa người dùng tải Windows 11 giả mạo để lây lan mã độc Vidar

www.tuoitre.vn -   19/05/2022 08:00:00 572

Các miền gian lận giả danh cổng tải xuống Windows 11 của Microsoft đang cố gắng lừa người dùng triển khai các tệp cài đặt bị trojan để lây nhiễm phần mềm độc hại đánh cắp thông tin Vidar vào hệ thống.

Hacker lừa người dùng tải Windows 11 giả mạo để lây lan mã độc Vidar

Các trang web giả mạo được tạo ra để phân phối các tệp ISO độc hại dẫn đến việc lây nhiễm phần mềm đánh cắp thông tin Vidar trên điểm cuối". "Các biến thể của phần mềm độc hại Vidar này lấy cấu hình C2 từ các kênh truyền thông xã hội do kẻ tấn công kiểm soát được lưu trữ trên mạng Telegram và Mastodon."

Một số miền vectơ phân phối giả mạo, đã được đăng ký vào tháng trước vào ngày 20 tháng 4, bao gồm ms-win11[.]com, win11-serv[.]com, and win11install[.]com, and ms-teams-app[.]net.

Ngoài ra, công ty an ninh mạng cũng cảnh báo rằng tác nhân đe dọa đằng sau chiến dịch mạo danh cũng đang tận dụng các phiên bản được kiểm duyệt của Adobe Photoshop và phần mềm hợp pháp khác như Microsoft Teams để phân phối phần mềm độc hại Vidar.

Về phần mình, tệp ISO chứa tệp thực thi có kích thước lớn bất thường (hơn 300MB) nhằm cố gắng trốn tránh sự phát hiện của các giải pháp bảo mật và được ký bằng chứng chỉ hết hạn từ Avast có khả năng bị đánh cắp sau vụ vi phạm vào tháng 10 năm 2019.

Nhưng được nhúng trong tệp nhị phân 330MB là tệp thực thi có kích thước 3,3 MB, đó là phần mềm độc hại Vidar, với phần còn lại của nội dung tệp được đệm bằng 0x10 byte để tăng kích thước giả tạo.

Trong giai đoạn tiếp theo của chuỗi tấn công, Vidar thiết lập các kết nối đến máy chủ điều khiển và kiểm soát từ xa (C2) để truy xuất các tệp DLL hợp pháp như sqlite3.dll và vcruntime140.dll để lấy dữ liệu có giá trị từ các hệ thống bị xâm phạm.

Cũng đáng chú ý là việc kẻ đe dọa lạm dụng Mastodon và Telegram để lưu trữ địa chỉ IP C2 trong trường mô tả của các tài khoản và cộng đồng do kẻ tấn công kiểm soát.

Các phát hiện bổ sung vào danh sách ngày càng nhiều các phương pháp khác nhau đã được phát hiện trong tháng qua để phát tán phần mềm độc hại Vidar, bao gồm các tệp Microsoft Compiled HTML Help (CHM) và một trình tải có tên Colibri.

Các nhà nghiên cứu cho biết: “Những kẻ đe dọa phát tán phần mềm độc hại Vidar đã chứng tỏ khả năng của họ để nạn nhân là kỹ sư xã hội cài đặt phần mềm ăn cắp Vidar bằng cách sử dụng các chủ đề liên quan đến các ứng dụng phần mềm phổ biến mới nhất,” các nhà nghiên cứu cho biết.

"Như mọi khi, người dùng nên thận trọng khi tải xuống các ứng dụng phần mềm từ Internet và chỉ tải phần mềm từ các trang web của nhà cung cấp chính thức."

Hương - Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 29
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 37
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 38
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng nghìn thiết bị bị lây nhiễm phần mề...

28/11/2022 08:00:00 43
Phần mềm độc hại lừa đảo ngân hàng Android được gọi là SharkBot một lần nữa xuất hiện trên Cửa hàng ...

34 nhóm tội phạm mạng Nga đã đánh cắp hơ...

25/11/2022 08:00:00 33
Có tới 34 băng nhóm nói tiếng Nga đang phân phối phần mềm độc hại đánh cắp thông tin theo mô hình kẻ...

Chuyên gia Kaspersky: Số lượng mã độc đà...

24/11/2022 08:00:00 78
Trong Quý 3/2022, các nhà nghiên cứu tại Kaspersky nhận thấy sự gia tăng mạnh mẽ của mã độc đào tiền...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ