Los dominios fraudulentos que se hacen pasar por el portal de descargas de Windows 11 de Microsoft intentan engañar a los usuarios para que desplieguen archivos de instalación troyanizados para infectar los sistemas con el malware robador de información Vidar.
«Los sitios falsos fueron creados para distribuir archivos ISO maliciosos que conducen a una infección de robo de información Vidar en el punto final», dijo Zscaler en un informe. «Estas variantes del malware Vidar obtienen la configuración C2 de los canales de medios sociales controlados por el atacante alojados en la red Telegram y Mastodon».
Algunos de los dominios del vector de distribución de malware, que se registraron el mes pasado, el 20 de abril, consisten en ms-win11[.]com, win11-serv[.]com, y win11install[.]com, y ms-teams-app[.]net.
Además, la empresa de ciberseguridad advirtió que el actor de la amenaza que está detrás de la campaña de suplantación de identidad también está aprovechando versiones de Adobe Photoshop y otro software legítimo como Microsoft Teams para entregar el malware Vidar.
El archivo ISO, por su parte, contiene un ejecutable de tamaño inusualmente grande (más de 300MB) en un intento de evadir la detección de las soluciones de seguridad y está firmado con un certificado caducado de Avast que probablemente fue robado tras la brecha de este último en octubre de 2019.
Pero dentro del binario de 330 MB hay un ejecutable de 3,3 MB que es el malware Vidar, con el resto del contenido del archivo rellenado con 0x10 bytes para inflar artificialmente el tamaño.
En la siguiente fase de la cadena de ataque, Vidar establece conexiones con un servidor remoto de comando y control (C2) para recuperar archivos DLL legítimos como sqlite3.dll y vcruntime140.dll para desviar datos valiosos de los sistemas comprometidos.
También es notable el abuso de Mastodon y Telegram por parte del actor de la amenaza para almacenar la dirección IP del C2 en el campo de descripción de las cuentas y comunidades controladas por el atacante.
Los hallazgos se suman a una lista de diferentes métodos que han sido descubiertos en el último mes para distribuir el malware Vidar, incluyendo archivos de Ayuda HTML Compilada (CHM) de Microsoft y un cargador llamado Colibri.
«Los actores de la amenaza que distribuyen el malware Vidar han demostrado su capacidad para hacer ingeniería social a las víctimas para que instalen el ladrón Vidar utilizando temas relacionados con las últimas aplicaciones de software populares», dijeron los investigadores.
«Como siempre, los usuarios deben ser cautelosos al descargar aplicaciones de software de Internet y descargar software sólo de los sitios web oficiales del proveedor».
