Adverteren of een persbericht?

Vervalste Windows 11-malware downloads maken misbruik van Telegram

Telegram hack malware nieuws marketing

Telegram hack malware nieuws marketing

 

Een grote waarschuwing voor een nieuwe dreiging die malware verspreidt, vermomd als Windows 11-download. Kortgeleden ontdekte het Zscaler ThreatLabz-team verschillende nieuw geregistreerde domeinen. Deze domeinen zijn gemaakt door een threat actor om de officiële Microsoft Windows 11 OS-downloadportal te vervalsen. Zscaler heeft deze domeinen ontdekt door verdacht verkeer in de Zscaler-cloud te monitoren. De vervalste sites zijn gemaakt om kwaadaardige ISO-bestanden te verspreiden die leiden tot een Vidar-infostealer-infectie op het eindpunt. Deze varianten van Vidar-malware halen de Command and Control (C2)-configuratie op van door aanvallers gecontroleerde sociale-mediakanalen die worden gehost op het Telegram- en Mastodon-netwerk.

Zscaler is van mening dat diezelfde threat actor actief gebruikmaakt van social engineering om zich voor te doen als populaire legitieme applicaties om zo Vidar-malware te verspreiden. Er is namelijk ook een een door een aanvaller gecontroleerde GitHub-repository geïdentificeerd die verschillende backdoor-versies van Adobe Photoshop host. Deze binaire bestanden die op GitHub worden gehost, verspreiden Vidar-malware met vergelijkbare tactieken om sociale-mediakanalen te misbruiken voor C2-communicatie.

Distributie van Windows 11 

De threat actor registreerde vanaf 20 april 2022 verschillende domeinen die webpagina’s hosten die zich voordoen als de officiële Microsoft Windows 11-downloadpagina, de nieuwste versie van het besturingssysteem. Zscaler heeft verschillende andere domeinen gevonden die door deze threat actor zijn geregistreerd, vergelijkbaar met het domein dat wordt weergegeven in de onderstaande afbeelding. Al deze domeinen werden gebruikt om kwaadaardige ISO-bestanden te verspreiden die werden vervalst als een Windows 11-download.

Belangrijkste kenmerken van deze aanval

  • Zscaler ontdekte verschillende nieuw geregistreerde domeinen die de officiële Microsoft Windows 11 OS-downloadportal vervalsen.
  • De vervalste domeinen verspreidden kwaadaardige ISO-bestanden met voorbeelden van de Vidar infostealer-malware.
  • De daadwerkelijke C2’s die door de malware-samples worden gebruikt, worden verkregen van door aanvallers gecontroleerde sociale-mediakanalen die worden gehost op het Telegram- en Mastodon-netwerk.
  • Met behulp van gegevens die uit deze campagne zijn verkregen, kon Zscaler ook een ander, soortgelijk domein identificeren met behulp van backdoor-versies van Adobe Photoshop


De threat actors die Vidar-malware verspreiden, hebben aangetoond dat ze in staat zijn om slachtoffers via social engineering te overtuigen om Vidar-stealer te installeren. Dit doen ze door thema’s te kiezen die verband houden met de nieuwste populaire applicaties. Zoals altijd moeten gebruikers voorzichtig zijn bij het downloaden van applicaties van internet en alleen software downloaden van de officiële websites van leveranciers. Het Zscaler ThreatLabZ-team zal deze campagne en andere campagnes blijven volgen om gebruikers te beschermen.

Bezoek de website voor een volledige technische analyse van Vidar: https://www.zscaler.com/blogs/security-research/vidar-distributed-through-backdoored-windows-11-downloads-and-abusing

redactie

Redactie Nieuws.Social. Wij bestaan uit medewerkers van Vormgeven.nl, AtMost, AtMost.TV en een afvaardiging van ervaren bloggers.