ระวัง !! มัลแวร์ Vidar Infostealer แพร่กระจายผ่านตัวติดตั้ง Windows 11 ปลอม

ทาง Zscaler ThreatLabz บริษัทรักษาความปลอดภัยทางไซเบอร์ อธิบายว่า ผู้ไม่ประสงค์ดีพยายามติดตั้งมัลแวร์บนอุปกรณ์ของผู้ใช้งานผ่าน Domain ที่ลงทะเบียนใหม่ ได้แก่ ms-win11com, win11-servcom, win11installcom และ ms-teams-appnet สร้างขึ้นเพื่อแพร่กระจายไฟล์ ISO (a PE32 binary) ที่เป็นตัวติดตั้ง Windows 11 ปลอม โดยในไฟล์ ISO มีไฟล์ Executable ที่มีขนาดใหญ่ (มากกว่า 300MB) เพื่อหลีกเลี่ยงการตรวจจับจาก anti-viruses ซึ่งไฟล์นี้ Signed ด้วย Certificate ที่หมดอายุจาก Avast และ Binaries ทั้งหมดได้รับ Signed โดย Certificate ที่มี Serial Number เดียวกัน    

มัลแวร์ Vidar Infostealer คืออะไร? 

เป็นมัลแวร์ที่สามารถทำการสอดแนมผู้ใช้งาน ซึ่งหน้าที่หลักของมันคือการขโมยข้อมูลผู้ใช้งาน เช่น ข้อมูล OS ข้อมูลบัญชีออนไลน์ ประวัติเบราว์เซอร์ ข้อมูลทางการเงินหรือธนาคาร และ Cryptocurrency Wallet Login Details  

Vidar Infostealer แพร่กระจายได้อย่างไร? 

มัลแวร์ Vidar Infostealer แพร่กระจายผ่านการโจมตีแบบ Phishing และใช้ Social Media Networks  
ของผู้ไม่ประสงค์ดี โดยนักวิจัยของ ZScaler ตั้งข้อสังเกตว่าตัวแปรมัลแวร์ Vidar Infostealer จะแยกการกำหนดค่า C2 Server จากช่องทางโซเชียลมีเดียเหล่านี้บน Mastodon Network และ Telegram  

ในกรณีที่สองถูกตรวจสอบโดย Zscaler ผู้ไม่ประสงค์ดีจะสร้างบัญชีผู้ใช้งานใหม่และบันทึกที่อยู่ C2 Server  
ในส่วนโปรไฟล์บน Section Mastodon และ Telegram C2 เดียวกัน ซึ่งถูกเก็บไว้ใน Channel Description tab  
ซึ่งวิธีนี้จะช่วยให้ผู้ไม่ประสงค์ดีสามารถติดตั้งมัลแวร์บนอุปกรณ์ที่เกิดช่องโหว่ เนื่องจากสามารถ Configuration  
C2 Server จากช่องทางต่าง ๆ  

IOCs 

คำแนะนำ 

  1. ดาวน์โหลดซอฟต์แวร์จาก Official Websites 
  1. หลีกเลี่ยงการใช้ซอฟต์แวร์เวอร์ชัน Cracked หรือ เวอร์ชันฟรี 
  1. ควรหลีกเลี่ยงการโหลดไฟล์หรือคลิกลิงก์ที่แนบมากับอีเมลแปลก ๆ หรือน่าสงสัย 
  1. ควรตรวจเช็คชื่ออีเมลของผู้ส่งว่าตรงกับชื่อของหน่วยงานหรือไม่ 
  1. ควรลบคุกกี้บนเว็บเบราว์เซอร์ 
  1. ควรตระหนักถึงภัยคุกคามทางไซเบอร์ 

Ref : https://www.hackread.com/beware-fake-windows-11-download-vidar-malware/ 

Ref IOCs : https://blog.malwarebytes.com/threat-analysis/2019/01/vidar-gandcrab-stealer-and-ransomware-combo-observed-in-the-wild/ 

Share