Hacker lừa người dùng tải Windows 11 giả mạo để lây lan mã độc Vidar

www.tuoitre.vn -   19/05/2022 08:00:00 214

Các miền gian lận giả danh cổng tải xuống Windows 11 của Microsoft đang cố gắng lừa người dùng triển khai các tệp cài đặt bị trojan để lây nhiễm phần mềm độc hại đánh cắp thông tin Vidar vào hệ thống.

Hacker lừa người dùng tải Windows 11 giả mạo để lây lan mã độc Vidar

Các trang web giả mạo được tạo ra để phân phối các tệp ISO độc hại dẫn đến việc lây nhiễm phần mềm đánh cắp thông tin Vidar trên điểm cuối". "Các biến thể của phần mềm độc hại Vidar này lấy cấu hình C2 từ các kênh truyền thông xã hội do kẻ tấn công kiểm soát được lưu trữ trên mạng Telegram và Mastodon."

Một số miền vectơ phân phối giả mạo, đã được đăng ký vào tháng trước vào ngày 20 tháng 4, bao gồm ms-win11[.]com, win11-serv[.]com, and win11install[.]com, and ms-teams-app[.]net.

Ngoài ra, công ty an ninh mạng cũng cảnh báo rằng tác nhân đe dọa đằng sau chiến dịch mạo danh cũng đang tận dụng các phiên bản được kiểm duyệt của Adobe Photoshop và phần mềm hợp pháp khác như Microsoft Teams để phân phối phần mềm độc hại Vidar.

Về phần mình, tệp ISO chứa tệp thực thi có kích thước lớn bất thường (hơn 300MB) nhằm cố gắng trốn tránh sự phát hiện của các giải pháp bảo mật và được ký bằng chứng chỉ hết hạn từ Avast có khả năng bị đánh cắp sau vụ vi phạm vào tháng 10 năm 2019.

Nhưng được nhúng trong tệp nhị phân 330MB là tệp thực thi có kích thước 3,3 MB, đó là phần mềm độc hại Vidar, với phần còn lại của nội dung tệp được đệm bằng 0x10 byte để tăng kích thước giả tạo.

Trong giai đoạn tiếp theo của chuỗi tấn công, Vidar thiết lập các kết nối đến máy chủ điều khiển và kiểm soát từ xa (C2) để truy xuất các tệp DLL hợp pháp như sqlite3.dll và vcruntime140.dll để lấy dữ liệu có giá trị từ các hệ thống bị xâm phạm.

Cũng đáng chú ý là việc kẻ đe dọa lạm dụng Mastodon và Telegram để lưu trữ địa chỉ IP C2 trong trường mô tả của các tài khoản và cộng đồng do kẻ tấn công kiểm soát.

Các phát hiện bổ sung vào danh sách ngày càng nhiều các phương pháp khác nhau đã được phát hiện trong tháng qua để phát tán phần mềm độc hại Vidar, bao gồm các tệp Microsoft Compiled HTML Help (CHM) và một trình tải có tên Colibri.

Các nhà nghiên cứu cho biết: “Những kẻ đe dọa phát tán phần mềm độc hại Vidar đã chứng tỏ khả năng của họ để nạn nhân là kỹ sư xã hội cài đặt phần mềm ăn cắp Vidar bằng cách sử dụng các chủ đề liên quan đến các ứng dụng phần mềm phổ biến mới nhất,” các nhà nghiên cứu cho biết.

"Như mọi khi, người dùng nên thận trọng khi tải xuống các ứng dụng phần mềm từ Internet và chỉ tải phần mềm từ các trang web của nhà cung cấp chính thức."

Hương - Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tấn công RDP trong khu vực Đông Nam Á tă...

30/06/2022 08:00:00 84
Khi đại dịch bùng nổ vào năm 2020, các doanh nghiệp trong khu vực Đông Nam Á muốn duy trì hoạt động ...

Muốn dùng Windows 11 buộc phải có tài kh...

29/06/2022 12:00:00 27
Windows Rufus hiện cho phép người dùng tải xuống và cài đặt Windows 11 mà không cần tạo tài khoản Mi...

Micrô của bạn có thực sự bị tắt tiếng tr...

28/06/2022 08:00:00 104
Chúng tôi trích dẫn một nghiên cứu thú vị về cách nút tắt tiếng thực sự hoạt động trong các dịch vụ ...

AMD bị hack và mất 450GB dữ liệu?

28/06/2022 12:00:00 30
Băng nhóm hacker tiết lộ rằng dữ liệu của AMD bao gồm các nghiên cứu và thông tin tài chính. Chúng s...

Kaspersky Safe Kids - có gì mới trong nă...

27/06/2022 08:00:00 95
Kaspersky đã phát hành phiên bản mới của ứng dụng kiểm soát của phụ huynh, Kaspersky Safe Kids. Đây ...

Google Hangouts sẽ đóng cửa, thay bằng G...

27/06/2022 12:00:00 10
Trong vài năm trở lại đây, Google đã liên tục đóng cửa các dịch vụ kém hiệu quả và hướng người dùng ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ