Amsterdam, 25 juli 2022 -
Zscaler waarschuwt voor een nieuwe dreiging die malware verspreidt, vermomd als Windows 11-download. Kortgeleden ontdekte het Zscaler ThreatLabz-team verschillende nieuw geregistreerde domeinen. Deze domeinen zijn gemaakt door een threat actor om de officiële Microsoft Windows 11 OS-downloadportal te vervalsen. Zscaler heeft deze domeinen ontdekt door verdacht verkeer in de Zscaler-cloud te monitoren. De vervalste sites zijn gemaakt om kwaadaardige ISO-bestanden te verspreiden die leiden tot een Vidar-infostealer-infectie op het eindpunt. Deze varianten van Vidar-malware halen de Command and Control (C2)-configuratie op van door aanvallers gecontroleerde sociale-mediakanalen die worden gehost op het Telegram- en Mastodon-netwerk.
Zscaler is van mening dat diezelfde threat actor actief gebruikmaakt van social engineering om zich voor te doen als populaire legitieme applicaties om zo Vidar-malware te verspreiden. Er is namelijk ook een een door een aanvaller gecontroleerde GitHub-repository geïdentificeerd die verschillende backdoor-versies van Adobe Photoshop host. Deze binaire bestanden die op GitHub worden gehost, verspreiden Vidar-malware met vergelijkbare tactieken om sociale-mediakanalen te misbruiken voor C2-communicatie.
Distributie van Windows 11
De threat actor registreerde vanaf 20 april 2022 verschillende domeinen die webpagina's hosten die zich voordoen als de officiële Microsoft Windows 11-downloadpagina, de nieuwste versie van het besturingssysteem. Zscaler heeft verschillende andere domeinen gevonden die door deze threat actor zijn geregistreerd, vergelijkbaar met het domein dat wordt weergegeven in de onderstaande afbeelding. Al deze domeinen werden gebruikt om kwaadaardige ISO-bestanden te verspreiden die werden vervalst als een Windows 11-download.
Belangrijkste kenmerken van deze aanval
- Zscaler ontdekte verschillende nieuw geregistreerde domeinen die de officiële Microsoft Windows 11 OS-downloadportal vervalsen.
- De vervalste domeinen verspreidden kwaadaardige ISO-bestanden met voorbeelden van de Vidar infostealer-malware.
- De daadwerkelijke C2's die door de malware-samples worden gebruikt, worden verkregen van door aanvallers gecontroleerde sociale-mediakanalen die worden gehost op het Telegram- en Mastodon-netwerk.
- Met behulp van gegevens die uit deze campagne zijn verkregen, kon Zscaler ook een ander, soortgelijk domein identificeren met behulp van backdoor-versies van Adobe Photoshop
Conclusie
De threat actors die Vidar-malware verspreiden, hebben aangetoond dat ze in staat zijn om slachtoffers via social engineering te overtuigen om Vidar-stealer te installeren. Dit doen ze door thema's te kiezen die verband houden met de nieuwste populaire applicaties. Zoals altijd moeten gebruikers voorzichtig zijn bij het downloaden van applicaties van internet en alleen software downloaden van de officiële websites van leveranciers. Het Zscaler ThreatLabZ-team zal deze campagne en andere campagnes blijven volgen om gebruikers te beschermen.
Bezoek de website voor een volledige technische analyse van Vidar:
https://www.zscaler.com/blogs/security-research/vidar-distributed-through-backdoored-windows-11-downloads-and-abusing
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SSE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.
Voor meer informatie
Zscaler
Berend Sikkema
E-mail:
bsikkema@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
Telefoon: 0317 410 483
E-mail:
zscaler@whizpr.nl