Vidar-Malware: Verbreitung durch gefälschte Windows 11- und Adobe-Webseiten

Hacker

Das ThreatLabz-Team von Zscaler entdeckten neue Mechanismen zur Verbreitung des Infostealers Vidar, die auf prominente Markennamen für ihr Social Engineering setzen.

Auf die aktuellen Malware-Kampagnen wurden die Sicherheitsanalysten durch neu registrierte Domain-Namen aufmerksam, die das offizielle Download-Portal für Microsoft Windows 11 kopieren. Über die gefälschten Domänen werden ISO-Dateien verbreitet, die die Vidar-Malware enthalten und darüber Endgeräte infizieren. Nach der Erstinfektion des Endgeräts werden Dateien für die Command & Control-Kommunikation der Angreifer über dafür erstellte Profile auf den Social-Media-Kanälen Telegram oder Mastodon nachgeladen. Darüber hinaus wurde ein von den Angreifern kontrolliertes GitHub-Repository identifiziert, das mehrere gefälschte Versionen von Adobe Photoshop enthält. Diese auf GitHub gehosteten Binärdateien verbreiten Vidar-Malware über eine ähnliche Taktik.

Anzeige

Verbreitung durch Telegram und Mastodon

Alle an dieser Kampagne beteiligten Binärdateien beziehen die IP-Adressen der C2-Server von den von den Malware-Akteuren registrierten Social-Media-Konten in den Netzwerken Telegram und Mastodon. Der Missbrauch von Telegram ist dabei eine neue Taktik, die die Angreifer zu ihrem Arsenal hinzugefügt haben. Das Mastodon-Netzwerk wiederum ist ein dezentralisiertes soziales Netzwerk, das es jedem ermöglicht, seine eigene Instanz einer selbst gehosteten Online-Community einzurichten. Es gibt mehrere Instanzen solcher Online-Communities im Internet, die mit Mastodon aufgebaut sind.

Malware Zscaler
Von den Angreifern kontrollierte Domänen setzten für ihr Social Engineering auf promintente Markennamen. Bildquelle: Zscaler

Die Bedrohungsakteure hinter dem Vidar-Infostealer haben bewiesen, dass sie ihre Opfer durch Social Engineering dazu bringen, die Malware zu installieren. Benutzer sollten beim Herunterladen von Software-Anwendungen aus dem Internet Vorsicht walten lassen, wenn es sich nicht um die offiziellen Webseiten der Hersteller handelt. Das Zscaler ThreatLabZ-Team veröffentlicht die Indicators of Compromise und die detaillierte technische Analyse der Kampagnen im aktuellen Blog.

www.zscaler.de

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.