Cybercriminelen verspreiden malware via vervalste Windows 11-updates. Die worden gedistribueerd langs nagemaakte Microsoft-portals, in de vorm van zogeheten ISO-bestanden. In deze kwaadaardige ISO’s zit de Vidar-malware verstopt.
De waarschuwing komt van het Zscaler ThreatLabz-team. Dat ontdekte verschillende nieuw geregistreerde domeinen door het monitoren van verdacht verkeer in de Zscaler-cloud. De vervalste sites zijn gemaakt om ISO-bestanden te verspreiden die uiteindelijk leiden tot een Vidar-infostealer-infectie.
Telegram en Mastodon
Vidar-malware is in staat om de Command and Control (C2)-configuratie op te halen van (door aanvallers gecontroleerde) socialemediakanalen die worden gehost op het Telegram- en Mastodon-netwerk. Zscaler vermoedt dat diezelfde threat actor actief gebruikmaakt van social engineering om zich voor te doen als populaire legitieme applicaties, met wederom als doel om Vidar-malware te verspreiden. Er is namelijk ook een GitHub-repository geïdentificeerd die verschillende backdoor-versies van Adobe Photoshop host. Deze binaire bestanden verspreiden Vidar-malware met vergelijkbare tactieken waarmee socialemediakanalen misbruikt worden voor C2-communicatie.
Het Zscaler ThreatLabz-team adviseert gebruikers voorzichtig te zijn en alleen software te downloaden via de officiële websites van leveranciers.
