แฮ็กเกอร์หลอกให้ผู้ใช้ดาวน์โหลด Windows 11 ปลอม เพื่อติดตั้งมัลแวร์ Vidar

Zscaler ได้กล่าวในรายงานถึงเว็บไซต์ที่ปลอมเป็นหน้าดาวน์โหลด official Microsoft Windows 11 เวอร์ชันล่าสุด ที่ถูกสร้างขึ้นเพื่อแจกจ่ายไฟล์ ISO ที่เป็นอันตราย และติดตั้งมัลแวร์ Vidar info-stealer ที่เครื่องปลายทาง และมัลแวร์ Vidar เหล่านี้ยังดึงข้อมูล C2 configuration จากโฮสต์ social media channels ที่ควบคุมโดยผู้โจมตี บนเครือข่าย Telegram และ Mastodon

เมื่อวันที่ 20 เมษายนที่ผ่านมา ผู้โจมตีได้ลงทะเบียนโดเมนหลายโดเมนที่ใช้ในการกระจายมัลแวร์ โดยรายชื่อโดเมนทั้งหมดที่มีการเชื่อมโยงกับผู้โจมตีจะระบุอยู่ในส่วน Indicators of Compromise (IOC) ด้านล่างของรายงานนี้

บริษัทรักษาความปลอดภัยทางไซเบอร์ยังเตือนถึงการโจมตีของผู้โจมตีซึ่งนอกจากการแพร่กระจายไฟล์ .ISO แล้ว ยังแอบใช้ประโยชน์จาก Adobe Photoshop และซอฟต์แวร์ที่มีการใช้งานตามปกติอื่นๆ เช่น Microsoft Teams เพื่อส่งมัลแวร์ Vidar อีกด้วย

ในส่วนของไบนารีในไฟล์ ISO เป็นไบนารี PE32 และมีขนาดไฟล์ที่ใหญ่ผิดปกติ (มากกว่า 300 MB) ซึ่งจะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยของเครือข่ายที่มีการจำกัดขนาดไฟล์ได้ และไบนารีในไฟล์ ISO ได้ signed ด้วยใบรับรองที่หมดอายุจาก Avast ซึ่งมีแนวโน้มว่าจะถูกขโมยหลังจากการโจมตีในเดือนตุลาคม 2019

(more…)