มัลแวร์ Vidar Infostealer คืออะไร?
ทาง Zscaler ThreatLabz บริษัทรักษาความปลอดภัยทางไซเบอร์ อธิบายว่า ผู้ไม่ประสงค์ดีพยายามติดตั้งมัลแวร์บนอุปกรณ์ของผู้ใช้งานผ่าน Domain ที่ลงทะเบียนใหม่ ได้แก่ ms-win11com, win11-servcom, win11installcom และ ms-teams-appnet สร้างขึ้นเพื่อแพร่กระจายไฟล์ ISO (a PE32 binary) ที่เป็นตัวติดตั้ง Windows 11 ปลอม โดยในไฟล์ ISO มีไฟล์ Executable ที่มีขนาดใหญ่ (มากกว่า 300MB) เพื่อหลีกเลี่ยงการตรวจจับจาก anti-viruses ซึ่งไฟล์นี้ Signed ด้วย Certificate ที่หมดอายุจาก Avast และ Binaries ทั้งหมดได้รับ Signed โดย Certificate ที่มี Serial Number เดียวกัน
มัลแวร์ Vidar Infostealer คืออะไร?
เป็นมัลแวร์ที่สามารถทำการสอดแนมผู้ใช้งาน ซึ่งหน้าที่หลักของมันคือการขโมยข้อมูลผู้ใช้งาน เช่น ข้อมูล OS ข้อมูลบัญชีออนไลน์ ประวัติเบราว์เซอร์ ข้อมูลทางการเงินหรือธนาคาร และ Cryptocurrency Wallet Login Details
Vidar Infostealer แพร่กระจายได้อย่างไร?
มัลแวร์ Vidar Infostealer แพร่กระจายผ่านการโจมตีแบบ Phishing และใช้ Social Media Networks
ของผู้ไม่ประสงค์ดี โดยนักวิจัยของ ZScaler ตั้งข้อสังเกตว่าตัวแปรมัลแวร์ Vidar Infostealer จะแยกการกำหนดค่า C2 Server จากช่องทางโซเชียลมีเดียเหล่านี้บน Mastodon Network และ Telegram
ในกรณีที่สองถูกตรวจสอบโดย Zscaler ผู้ไม่ประสงค์ดีจะสร้างบัญชีผู้ใช้งานใหม่และบันทึกที่อยู่ C2 Server
ในส่วนโปรไฟล์บน Section Mastodon และ Telegram C2 เดียวกัน ซึ่งถูกเก็บไว้ใน Channel Description tab
ซึ่งวิธีนี้จะช่วยให้ผู้ไม่ประสงค์ดีสามารถติดตั้งมัลแวร์บนอุปกรณ์ที่เกิดช่องโหว่ เนื่องจากสามารถ Configuration
C2 Server จากช่องทางต่าง ๆ
IOCs
คำแนะนำ
- ดาวน์โหลดซอฟต์แวร์จาก Official Websites
- หลีกเลี่ยงการใช้ซอฟต์แวร์เวอร์ชัน Cracked หรือ เวอร์ชันฟรี
- ควรหลีกเลี่ยงการโหลดไฟล์หรือคลิกลิงก์ที่แนบมากับอีเมลแปลก ๆ หรือน่าสงสัย
- ควรตรวจเช็คชื่ออีเมลของผู้ส่งว่าตรงกับชื่อของหน่วยงานหรือไม่
- ควรลบคุกกี้บนเว็บเบราว์เซอร์
- ควรตระหนักถึงภัยคุกคามทางไซเบอร์
Ref : https://www.hackread.com/beware-fake-windows-11-download-vidar-malware/
Ref IOCs : https://blog.malwarebytes.com/threat-analysis/2019/01/vidar-gandcrab-stealer-and-ransomware-combo-observed-in-the-wild/