Hacker lừa người dùng tải Windows 11 giả mạo để lây lan mã độc Vidar

www.tuoitre.vn - 19/05/2022 08:00:00 730

Các miền gian lận giả danh cổng tải xuống Windows 11 của Microsoft đang cố gắng lừa người dùng triển khai các tệp cài đặt bị trojan để lây nhiễm phần mềm độc hại đánh cắp thông tin Vidar vào hệ thống.

Các trang web giả mạo được tạo ra để phân phối các tệp ISO độc hại dẫn đến việc lây nhiễm phần mềm đánh cắp thông tin Vidar trên điểm cuối". "Các biến thể của phần mềm độc hại Vidar này lấy cấu hình C2 từ các kênh truyền thông xã hội do kẻ tấn công kiểm soát được lưu trữ trên mạng Telegram và Mastodon."

Một số miền vectơ phân phối giả mạo, đã được đăng ký vào tháng trước vào ngày 20 tháng 4, bao gồm ms-win11[.]com, win11-serv[.]com, and win11install[.]com, and ms-teams-app[.]net.

Ngoài ra, công ty an ninh mạng cũng cảnh báo rằng tác nhân đe dọa đằng sau chiến dịch mạo danh cũng đang tận dụng các phiên bản được kiểm duyệt của Adobe Photoshop và phần mềm hợp pháp khác như Microsoft Teams để phân phối phần mềm độc hại Vidar.

Về phần mình, tệp ISO chứa tệp thực thi có kích thước lớn bất thường (hơn 300MB) nhằm cố gắng trốn tránh sự phát hiện của các giải pháp bảo mật và được ký bằng chứng chỉ hết hạn từ Avast có khả năng bị đánh cắp sau vụ vi phạm vào tháng 10 năm 2019.

Nhưng được nhúng trong tệp nhị phân 330MB là tệp thực thi có kích thước 3,3 MB, đó là phần mềm độc hại Vidar, với phần còn lại của nội dung tệp được đệm bằng 0x10 byte để tăng kích thước giả tạo.

Trong giai đoạn tiếp theo của chuỗi tấn công, Vidar thiết lập các kết nối đến máy chủ điều khiển và kiểm soát từ xa (C2) để truy xuất các tệp DLL hợp pháp như sqlite3.dll và vcruntime140.dll để lấy dữ liệu có giá trị từ các hệ thống bị xâm phạm.

Cũng đáng chú ý là việc kẻ đe dọa lạm dụng Mastodon và Telegram để lưu trữ địa chỉ IP C2 trong trường mô tả của các tài khoản và cộng đồng do kẻ tấn công kiểm soát.

Các phát hiện bổ sung vào danh sách ngày càng nhiều các phương pháp khác nhau đã được phát hiện trong tháng qua để phát tán phần mềm độc hại Vidar, bao gồm các tệp Microsoft Compiled HTML Help (CHM) và một trình tải có tên Colibri.

Các nhà nghiên cứu cho biết: “Những kẻ đe dọa phát tán phần mềm độc hại Vidar đã chứng tỏ khả năng của họ để nạn nhân là kỹ sư xã hội cài đặt phần mềm ăn cắp Vidar bằng cách sử dụng các chủ đề liên quan đến các ứng dụng phần mềm phổ biến mới nhất,” các nhà nghiên cứu cho biết.

"Như mọi khi, người dùng nên thận trọng khi tải xuống các ứng dụng phần mềm từ Internet và chỉ tải phần mềm từ các trang web của nhà cung cấp chính thức."

Hương - Theo TheHackerNews