Dutch IT Chanel Logo mobile
Search icon
Redactie - 26 juli 2022

Vidar-malware vervalst Windows 11-downloads

Security Data protection
Vidar-malware vervalst Windows 11-downloads image

Zscaler waarschuwt voor een nieuwe dreiging die malware verspreidt, vermomd als Windows 11-download. Kortgeleden ontdekte het Zscaler ThreatLabz-team verschillende nieuw geregistreerde domeinen. Deze domeinen zijn gemaakt door een threat actor om de officiële Microsoft Windows 11 OS-downloadportal te vervalsen. Zscaler heeft deze domeinen ontdekt door verdacht verkeer in de Zscaler-cloud te monitoren. De vervalste sites zijn gemaakt om kwaadaardige ISO-bestanden te verspreiden die leiden tot een Vidar-infostealer-infectie op het eindpunt. Deze varianten van Vidar-malware halen de Command and Control (C2)-configuratie op van door aanvallers gecontroleerde sociale-mediakanalen die worden gehost op het Telegram- en Mastodon-netwerk.

Zscaler is van mening dat diezelfde threat actor actief gebruikmaakt van social engineering om zich voor te doen als populaire legitieme applicaties om zo Vidar-malware te verspreiden. Er is namelijk ook een een door een aanvaller gecontroleerde GitHub-repository geïdentificeerd die verschillende backdoor-versies van Adobe Photoshop host. Deze binaire bestanden die op GitHub worden gehost, verspreiden Vidar-malware met vergelijkbare tactieken om sociale-mediakanalen te misbruiken voor C2-communicatie.

Distributie van Windows 11

De threat actor registreerde vanaf 20 april 2022 verschillende domeinen die webpagina's hosten die zich voordoen als de officiële Microsoft Windows 11-downloadpagina, de nieuwste versie van het besturingssysteem. Zscaler heeft verschillende andere domeinen gevonden die door deze threat actor zijn geregistreerd, vergelijkbaar met het domein dat wordt weergegeven in de onderstaande afbeelding. Al deze domeinen werden gebruikt om kwaadaardige ISO-bestanden te verspreiden die werden vervalst als een Windows 11-download.

Belangrijkste kenmerken van deze aanval

Zscaler ontdekte verschillende nieuw geregistreerde domeinen die de officiële Microsoft Windows 11 OS-downloadportal vervalsen.

De vervalste domeinen verspreidden kwaadaardige ISO-bestanden met voorbeelden van de Vidar infostealer-malware.

De daadwerkelijke C2's die door de malware-samples worden gebruikt, worden verkregen van door aanvallers gecontroleerde sociale-mediakanalen die worden gehost op het Telegram- en Mastodon-netwerk.

Met behulp van gegevens die uit deze campagne zijn verkregen, kon Zscaler ook een ander, soortgelijk domein identificeren met behulp van backdoor-versies van Adobe Photoshop

Conclusie

De threat actors die Vidar-malware verspreiden, hebben aangetoond dat ze in staat zijn om slachtoffers via social engineering te overtuigen om Vidar-stealer te installeren. Dit doen ze door thema's te kiezen die verband houden met de nieuwste populaire applicaties. Zoals altijd moeten gebruikers voorzichtig zijn bij het downloaden van applicaties van internet en alleen software downloaden van de officiële websites van leveranciers. Het Zscaler ThreatLabZ-team zal deze campagne en andere campagnes blijven volgen om gebruikers te beschermen.

Bezoek de website voor een volledige technische analyse van Vidar: https://www.zscaler.com/blogs/security-research/vidar-distributed-through-backdoored-windows-11-downloads-and-abusing

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!