Des domaines frauduleux se faisant passer pour le portail de téléchargement Windows 11 de Microsoft tentent d’inciter les utilisateurs à déployer des fichiers d’installation contenant des chevaux de Troie pour infecter les systèmes avec le logiciel malveillant de vol d’informations Vidar.
« Les sites usurpés ont été créés pour distribuer des fichiers ISO malveillants qui conduisent à une infection par le voleur d’informations Vidar sur le terminal », Zscaler mentionné dans un rapport. « Ces variantes du logiciel malveillant Vidar récupèrent la configuration C2 à partir de canaux de médias sociaux contrôlés par des attaquants hébergés sur les réseaux Telegram et Mastodon. »
Certains des domaines vectoriels de distribution escrocs, qui ont été enregistrés le mois dernier le 20 avril, consistent en ms-win11[.]com, win11-serv[.]com et win11install[.]com et ms-teams-app[.]rapporter.
En outre, la société de cybersécurité a averti que l’acteur de la menace à l’origine de la campagne d’usurpation d’identité exploite également des versions dérobées d’Adobe Photoshop et d’autres logiciels légitimes tels que Microsoft Teams pour diffuser le logiciel malveillant Vidar.
Le fichier ISO, pour sa part, contient un exécutable d’une taille inhabituellement importante (plus de 300 Mo) dans le but d’échapper à la détection par les solutions de sécurité et est signé avec un certificat expiré d’Avast qui a probablement été volé suite au manquement de ce dernier en octobre 2019.
Mais intégré dans le binaire de 330 Mo se trouve un exécutable de 3,3 Mo qui est le malware Vidar, avec le reste du contenu du fichier rempli de 0x10 octets pour gonfler artificiellement la taille.
Dans la phase suivante de la chaîne d’attaque, Vidar établit des connexions à un serveur de commande et de contrôle (C2) distant pour récupérer des fichiers DLL légitimes tels que sqlite3.dll et vcruntime140.dll afin de siphonner des données précieuses à partir de systèmes compromis.
Il convient également de noter l’abus de Mastodon et Telegram par l’acteur de la menace pour stocker l’adresse IP C2 dans le champ de description des comptes et des communautés contrôlés par l’attaquant.
Les résultats s’ajoutent à une liste de différentes méthodes qui ont été découvertes au cours du mois dernier pour distribuer le logiciel malveillant Vidar, y compris les fichiers Microsoft Compiled HTML Help (CHM) et un chargeur appelé Colibri.
« Les acteurs de la menace qui distribuent les logiciels malveillants Vidar ont démontré leur capacité à inciter les victimes à installer le voleur Vidar en utilisant des thèmes liés aux dernières applications logicielles populaires », ont déclaré les chercheurs.
« Comme toujours, les utilisateurs doivent être prudents lorsqu’ils téléchargent des applications logicielles à partir d’Internet et ne télécharger des logiciels qu’à partir des sites Web officiels des fournisseurs. »