Das ThreatLabz-Team von Zscaler entdeckte neue Mechanismen zur Verbreitung des Infostealers Vidar, die auf prominente Markennamen für ihr Social-Engineering setzen. Auf die aktuellen Malware-Kampagnen wurden die Sicherheitsanalysten durch neu registrierte Domain-Namen aufmerksam, die das offizielle Download-Portal für Microsoft-Windows-11 kopieren. Über die gefälschten Domänen werden ISO-Dateien verbreitet, die die Vidar-Malware enthalten und darüber Endgeräte infizieren.
Nach der Erstinfektion des Endgeräts werden Dateien für die Command & Control-Kommunikation der Angreifer über dafür erstellte Profile auf den Social-Media-Kanälen Telegram oder Mastodon nachgeladen. Darüber hinaus wurde ein von den Angreifern kontrolliertes GitHub-Repository identifiziert, das mehrere gefälschte Versionen von Adobe Photoshop enthält. Diese auf GitHub gehosteten Binärdateien verbreiten Vidar-Malware über eine ähnliche Taktik.
Verbreitung durch Telegram und Mastodon
Alle an dieser Kampagne beteiligten Binärdateien beziehen die IP-Adressen der C2-Server von den Malware-Akteuren registrierten Social-Media-Konten in den Netzwerken Telegram und Mastodon. Der Missbrauch von Telegram ist dabei eine neue Taktik, die die Angreifer zu ihrem Arsenal hinzugefügt haben. Das Mastodon-Netzwerk wiederum ist ein dezentralisiertes soziales Netzwerk, das es jedem ermöglicht, seine eigene Instanz einer selbst gehosteten Online-Community einzurichten. Es gibt mehrere Instanzen solcher Online-Communities im Internet, die mit Mastodon aufgebaut sind.
Die Bedrohungsakteure hinter dem Vidar-Infostealer haben bewiesen, dass sie ihre Opfer durch Social-Engineering dazu bringen, die Malware zu installieren. Benutzer sollten beim Herunterladen von Software-Anwendungen aus dem Internet Vorsicht walten lassen, wenn es sich nicht um die offiziellen Webseiten der Hersteller handelt. Das Zscaler-ThreatLabZ-Team veröffentlicht die Indicators of Compromise und die detaillierte technische Analyse der Kampagnen im aktuellen Blog.
#Zscaler