Blog

Microsoft Windows 11 yuklab olish portali sifatida niqoblangan firibgar domenlar foydalanuvchilarni Vidar axborot oʻgʻirlovchi zararli dasturlari bilan tizimlarni yuqtirish uchun troyanlashtirilgan oʻrnatish fayllarini oʻrnatishda aldashga harakat qilmoqda.

«Soxta saytlar so’nggi nuqtadagi ma’lumotlarni o’g’irlash uchun Vidar infektsiyalariga olib keladigan zararli ISO fayllarini tarqatish uchun yaratilgan», dedi Zscaler hisobotida. «Ushbu Vidar zararli dasturlari C2 konfiguratsiyasini Telegram va Mastodon tarmoqlarida joylashgan tajovuzkorlar tomonidan boshqariladigan ijtimoiy media kanallaridan chiqaradi.»

O‘tgan oy 20 aprelda ro‘yxatga olingan firibgar vektor tarqatish domenlari orasida ms-win11[.]com, win11-serv[.]com va win11install[.]com hamda ms-teams-app[ bor. ]net.

Bundan tashqari, kiberxavfsizlik kompaniyasi o‘zini taqlid qilish kampaniyasi ortidagi tajovuzkor Vidar zararli dasturini yetkazib berish uchun Adobe Photoshop va Microsoft Teams kabi boshqa qonuniy dasturlarning orqa eshikli versiyalaridan ham foydalanayotgani haqida ogohlantirdi.

ISO fayli, oʻz navbatida, xavfsizlik yechimlari tomonidan aniqlanmaslik uchun juda katta hajmdagi (300 MB dan ortiq) bajariladigan faylni oʻz ichiga oladi va Avast’dan muddati oʻtgan sertifikat bilan imzolangan boʻlib, 2019-yil oktabr oyida buzgʻunchilikdan keyin oʻgʻirlangan boʻlishi mumkin.

Ammo 330 MB ikkilik faylga Vidar zararli dasturi bo’lgan 3,3 MB hajmli bajariladigan fayl o’rnatilgan va faylning qolgan mazmuni hajmini sun’iy ravishda oshirish uchun 0x10 bayt bilan to’ldirilgan.

Hujum zanjirining keyingi bosqichida Vidar buzilgan tizimlardan qimmatli ma’lumotlarni o’g’irlash uchun sqlite3.dll va vcruntime140.dll kabi qonuniy DLL fayllarni chiqarish uchun masofaviy buyruq va boshqaruv (C2) serveriga ulanish o’rnatadi.

Shuningdek, tajovuzkor tomonidan boshqariladigan akkauntlar va hamjamiyatlarning tavsif maydonida C2 IP manzilini saqlash uchun Mastodon va Telegram’dan suiiste’mol qilgani ham diqqatga sazovor.

Topilmalar Vidar zararli dasturini, jumladan Microsoft Compiled HTML Help (CHM) fayllari va Colibri yuklab oluvchisini tarqatish uchun so‘nggi oyda topilgan turli usullarning ortib borayotgan ro‘yxatiga qo‘shildi.

«Vidar zararli dasturini tarqatuvchi tahdid aktyorlari so’nggi mashhur dasturiy ilovalar bilan bog’liq mavzulardan foydalangan holda Vidar o’g’irlagichini o’rnatish uchun qurbonlarni ijtimoiy muhandislik qilish qobiliyatini namoyish etdi», dedi tadqiqotchilar.

Har doimgidek, foydalanuvchilar Internetdan dasturiy ilovalarni yuklab olishda ehtiyot bo’lishlari va dasturiy ta’minotni faqat etkazib beruvchilarning rasmiy veb-saytlaridan yuklab olishlari kerak, bu borada ishonchli yetkazib beruvchi starlab.uz bilan bog’lanishingiz mumkin.