Vn-Z.vn Ngày 21 tháng 05 năm 2022, Cẩn thận có trang web giả mạo tải xuống hệ điều hành Windows 11 để phát tán Malware Vidar. Đó là cảnh báo từ công ty an ninh mạng Zscaler ThreatLabz.
Theo công ty này những kẻ xấu đang cố gắng cài đặt phần mềm độc hại ăn cắp thông tin trên thiết bị của người dùng thông qua các tên miềnphishing mới được đăng ký. Zscaler cho biết các tên miền giả mạo này lần đầu tiên được phát hiện vào tháng 4 năm 2022 , chúng được tạo ra để phân phối “file ISO độc hại” (file nhị phân PE32) được ngụy trang dưới dạng bộ cài đặt HĐH MS Windows 11 .
Mã độc có tên Vidar được phát tán trên các tên miền giả mạo được đăng ký vào ngày 20 tháng 4 bao gồm ms-win11com, win11-servcom, win11installcom và ms-team-appnet.
Malware Vidar trước đây đã được kẻ xấu sử dụng trong các cuộc tấn công vào người dùng YouTube trong những vụ lừa đảo VPN, các trang web VPN giả mạo được phát hiện cung cấp phần mềm độc hại nhằm đánh cắp mật khẩu.
Malware Vidar là phần mềm độc hại chuyên đánh cắp dữ liệu người dùng nhạy cảm như thông tin hệ điều hành, thông tin đăng nhập tài khoản trực tuyến, lịch sử trình duyệt, dữ liệu tài chính hoặc ngân hàng và chi tiết đăng nhập ví tiền điện tử. Malware này thường được phân phối thông qua bộ công cụ khai thác Fallout.
ZScaler lưu ý rằng các biến thể của phần mềm độc hại Vidar trích xuất cấu hình C2 từ các kênh truyền thông xã hội trên mạng Mastodon và Telegram. ZScaler phát hiện những kẻ tấn công đã tạo tài khoản người dùng mới và lưu địa chỉ máy chủ C2 trong phần hồ sơ trên các kênh Mastodon và Telegram. C2 tương tự đã được lưu trữ trong tab Mô tả kênh. Điều này giúp những kẻ tấn công cấy phần mềm độc hại vào các thiết bị dễ bị tấn công vì chúng bắt được cấu hình C2 từ các kênh.
Cũng theo Zscaler, những kẻ đứng sau chiến dịch này đã tận dụng các phần mềm hợp pháp như Adobe Photoshop và Microsoft Teams để phân phối phần mềm độc hại Vidar. Mặc dù các trang web giả mạo có vẻ là cổng tải xuống trung tâm, nhưng chính file ISO mới gây thiệt hại vì nó ẩn phần mềm độc hại và Themida.(Themida được phát triển bởi Oreans để bảo vệ các ứng dụng Windows khỏi tin tặc. Thật không may, nó cũng có thể được sử dụng để mã hóa các tệp độc hại và làm phức tạp các nỗ lực nhằm dịch ngược phần mềm độc hại.)
File ISO do kẻ xấu phát tán chứa các file mã thực thi có kích thước lớn bất thường (hơn 300MB) nhằm tránh bị phần mềm diệt vi rút phát hiện. File này được ký bằng chứng chỉ hết hạn từ Avast và tất cả các file nhị phân đã được ký bằng chứng chỉ có cùng số sê-ri.
Các chuyên gia cho biết chứng chỉ có thể là một phần của sự cố dữ liệu bị rò rỉ khi Avast bị tấn công vào tháng 10 năm 2019. Các file ISO giả mại trình cài đặt Win 11, cũng có một kho lưu trữ GitHub lưu trữ các phiên bản backdoored của Adobe Photoshop cùng nhiều phần mềm khác.
Để hạn chế việc tải về các phần mềm độc hại từ những trang web giả mạo, bạn đọc cần tải từ các nguồn chính thức như Microsoft. Nếu không biết có thể tham khảo thêm tại https://vn-z.vn/forums/he-dieu-hanh-windows.106/
Vn-Z.vn team tổng hợp tham khảo zscaler.com
Theo công ty này những kẻ xấu đang cố gắng cài đặt phần mềm độc hại ăn cắp thông tin trên thiết bị của người dùng thông qua các tên miềnphishing mới được đăng ký. Zscaler cho biết các tên miền giả mạo này lần đầu tiên được phát hiện vào tháng 4 năm 2022 , chúng được tạo ra để phân phối “file ISO độc hại” (file nhị phân PE32) được ngụy trang dưới dạng bộ cài đặt HĐH MS Windows 11 .
Mã độc có tên Vidar được phát tán trên các tên miền giả mạo được đăng ký vào ngày 20 tháng 4 bao gồm ms-win11com, win11-servcom, win11installcom và ms-team-appnet.
Malware Vidar là phần mềm độc hại chuyên đánh cắp dữ liệu người dùng nhạy cảm như thông tin hệ điều hành, thông tin đăng nhập tài khoản trực tuyến, lịch sử trình duyệt, dữ liệu tài chính hoặc ngân hàng và chi tiết đăng nhập ví tiền điện tử. Malware này thường được phân phối thông qua bộ công cụ khai thác Fallout.
ZScaler lưu ý rằng các biến thể của phần mềm độc hại Vidar trích xuất cấu hình C2 từ các kênh truyền thông xã hội trên mạng Mastodon và Telegram. ZScaler phát hiện những kẻ tấn công đã tạo tài khoản người dùng mới và lưu địa chỉ máy chủ C2 trong phần hồ sơ trên các kênh Mastodon và Telegram. C2 tương tự đã được lưu trữ trong tab Mô tả kênh. Điều này giúp những kẻ tấn công cấy phần mềm độc hại vào các thiết bị dễ bị tấn công vì chúng bắt được cấu hình C2 từ các kênh.
Cũng theo Zscaler, những kẻ đứng sau chiến dịch này đã tận dụng các phần mềm hợp pháp như Adobe Photoshop và Microsoft Teams để phân phối phần mềm độc hại Vidar. Mặc dù các trang web giả mạo có vẻ là cổng tải xuống trung tâm, nhưng chính file ISO mới gây thiệt hại vì nó ẩn phần mềm độc hại và Themida.(Themida được phát triển bởi Oreans để bảo vệ các ứng dụng Windows khỏi tin tặc. Thật không may, nó cũng có thể được sử dụng để mã hóa các tệp độc hại và làm phức tạp các nỗ lực nhằm dịch ngược phần mềm độc hại.)
File ISO do kẻ xấu phát tán chứa các file mã thực thi có kích thước lớn bất thường (hơn 300MB) nhằm tránh bị phần mềm diệt vi rút phát hiện. File này được ký bằng chứng chỉ hết hạn từ Avast và tất cả các file nhị phân đã được ký bằng chứng chỉ có cùng số sê-ri.
Các chuyên gia cho biết chứng chỉ có thể là một phần của sự cố dữ liệu bị rò rỉ khi Avast bị tấn công vào tháng 10 năm 2019. Các file ISO giả mại trình cài đặt Win 11, cũng có một kho lưu trữ GitHub lưu trữ các phiên bản backdoored của Adobe Photoshop cùng nhiều phần mềm khác.
Để hạn chế việc tải về các phần mềm độc hại từ những trang web giả mạo, bạn đọc cần tải từ các nguồn chính thức như Microsoft. Nếu không biết có thể tham khảo thêm tại https://vn-z.vn/forums/he-dieu-hanh-windows.106/
Vn-Z.vn team tổng hợp tham khảo zscaler.com
