تنتشر مجالات التصيد الاحتيالي في برامج تثبيت Windows 11 المحملة بـ Vidar infostealer.
وفقًا لشركة الأمن السيبراني Zscaler ThreatLabz ، يحاول المهاجمون تثبيت معلومات سرقة البرامج الضارة على أجهزة المستخدمين من خلال المجالات المسجلة حديثًا. أوضح Zscaler أن هذه المجالات المخادعة تمت ملاحظتها لأول مرة في أبريل 2022 وتم إنشاؤها لتوزيع "ملفات ISO ضارة" (ملف ثنائي PE32) متخفية في صورة مثبتات نظام تشغيل MS Windows 11.
توفر هذه الملفات الخبيثة Vidar infostealer على الجهاز. تتضمن بعض المجالات المزيفة المسجلة في 20 أبريل ms-win11com و win11-servcom و win11installcom و ms-team-appnet.
تجدر الإشارة إلى أن برامج Vidar الضارة قد تم استخدامها سابقًا في الهجمات ضد مستخدمي YouTube وفي عملية احتيال VPN حيث تم اكتشاف موقع VPN مزيف يقدم برامج ضارة لسرقة كلمات المرور.
ما هي البرمجيات الخبيثة فيدار؟
إنها معلومات مشهورة تسرق برامج ضارة يمكنها التجسس على المستخدمين. وتتمثل مهمتها الأساسية في سرقة بيانات المستخدم الحساسة مثل معلومات نظام التشغيل وبيانات اعتماد الحسابات عبر الإنترنت وسجل المتصفح والبيانات المالية أو المصرفية وتفاصيل تسجيل الدخول إلى محفظة العملات المشفرة. يتم توزيعه بشكل عام عبر مجموعة أدوات استغلال Fallout.
كيف يتم توزيع Vidar Infostealer؟
يتم تسليم برامج Vidar الضارة من خلال شبكات التواصل الاجتماعي التي يتحكم فيها المهاجمون والتصيد الاحتيالي. لاحظ باحثو ZScaler أن متغيرات البرامج الضارة Vidar تستخرج تكوين C2 من قنوات الوسائط الاجتماعية هذه على شبكة Mastodon و Telegram.
في حالتين تم فحصهما بواسطة Zscaler ، أنشأ المهاجمون حسابات مستخدمين جديدة وحفظوا عناوين خادم C2 في قسم الملف الشخصي على قنوات Mastodon و Telegram. تم تخزين نفس C2 في علامة التبويب وصف القناة. يساعد هذا المهاجمين على زرع برامج ضارة على الأجهزة المعرضة للخطر حيث يلتقط هؤلاء تكوين C2 من القنوات.
وفقًا لمدونة Zscaler ، فإن أولئك الذين يقفون وراء هذه الحملة يستفيدون من الإصدارات الخلفية من البرامج الشرعية مثل Adobe Photoshop و Microsoft Teams لتوزيع برامج Vidar الضارة. على الرغم من أن المواقع المزيفة تبدو وكأنها بوابة التنزيل المركزية ، إلا أن ملف ISO هو الذي يتسبب في الضرر لأنه يخفي حمولة البرامج الضارة و Themida.
يحتوي ملف ISO هذا على ملف تنفيذي كبير الحجم بشكل غير عادي (أكثر من 300 ميجابايت) لتجنب الكشف عن برامج مكافحة الفيروسات. تم توقيع هذا الملف بشهادة منتهية الصلاحية من Avast ، وقد تم توقيع جميع الثنائيات بشهادة تحمل نفس الرقم التسلسلي.
يعتقد الباحثون أن الشهادة يمكن أن تكون جزءًا من البيانات المسربة عندما تم استهداف Avast في أكتوبر 2019. تحتوي ملفات ISO ، التي تتظاهر بأنها مثبتة Win 11 ، على مستودع GitHub يخزن الإصدارات الخلفية من Adobe Photoshop والبرامج الأخرى.
كيف تحافظ على سلامتك؟
أفضل استراتيجية للتخفيف من تهديد البرامج الضارة لـ Vidar هي تنزيل البرامج من المواقع الرسمية وتجنب استخدام الإصدارات المتصدعة أو المجانية ، لأن هذه إغراءات محتملة للاستغلال.
0 تعليقات