Downloads falsos do Windows 11

Postado por Gerson Raymond em maio 22, 2022 em BÁSICO, DIVERSOS, NOTÍCIAS |

Comentários desativados

Hackers enganam usuários com downloads falsos do Windows 11 para distribuir malware Vidar

Domínios fraudulentos disfarçados de portal de download do Windows 11 da Microsoft estão tentando induzir os usuários a implantar arquivos de instalação trojanizados para infectar sistemas com um ladrão de informações denominado malware Vidar.

“Os sites falsificados foram criados para distribuir arquivos ISO maliciosos que levam a uma infecção pelo ladrão de informações Vidar no endpoint”, informou Zscaler em um relatório. “Essas variantes do malware Vidar obtêm a configuração C2 de canais de mídia social controlados por invasores hospedados na rede Telegram e Mastodon”.

Alguns dos domínios de vetor de distribuição desonestos, que foram registrados no mês passado em 20 de abril, consistem em ms-win11[.]com, win11-serv[.]com e win11install[.]com e ms-teams-app[. ]internet.

Além disso, a empresa de segurança cibernética alertou que o agente da ameaça por trás da campanha de representação também está aproveitando versões backdoor do Adobe Photoshop e outros softwares legítimos, como o Microsoft Teams, para fornecer o malware Vidar.

O arquivo ISO, por sua vez, contém um executável de tamanho incomumente grande (mais de 300 MB) na tentativa de evitar a detecção por soluções de segurança e é assinado com um certificado expirado do Avast que provavelmente foi roubado após a violação deste último em outubro de 2019.

Mas embutido no binário de 330 MB está um executável de 3,3 MB que é o malware Vidar, com o restante do conteúdo do arquivo preenchido com 0x10 bytes para inflar artificialmente o tamanho.

Na próxima fase da cadeia de ataque, Vidar estabelece conexões com um servidor remoto de comando e controle (C2) para recuperar arquivos DLL legítimos, como sqlite3.dll e vcruntime140.dll, para extrair dados valiosos de sistemas comprometidos.

Também é notável o abuso do Mastodon e do Telegram pelo agente da ameaça para armazenar o endereço IP C2 no campo de descrição das contas e comunidades controladas pelo invasor.

As descobertas se somam a uma lista crescente de métodos diferentes que foram descobertos no mês passado para distribuir o malware Vidar, incluindo arquivos de Ajuda HTML Compilada da Microsoft (CHM) e um carregador chamado Colibri.

“Os agentes de ameaças que distribuem o malware Vidar demonstraram sua capacidade de fazer engenharia social nas vítimas para instalar o ladrão Vidar usando temas relacionados aos mais recentes aplicativos de software populares”, informaram os pesquisadores.

“Como sempre, os usuários devem ser cautelosos ao baixar aplicativos de software da Internet e baixar software apenas dos sites oficiais dos fornecedores.”

Este artigo é uma tradução de: https://thehackernews.com/2022/05/hackers-trick-users-with-fake-windows.html (Autor: Ravie Lakshmanan)