Les chercheurs en sécurité ont découvert une nouvelle collection de domaines de phishing proposant de faux programmes d’installation de Windows 11 qui délivrent en fait des logiciels malveillants voleurs d’informations.
La société de cybersécurité Zscaler a déclaré que domaines nouvellement enregistrés sont apparus en avril 2022 et ont été conçus pour imiter le portail de téléchargement légitime du système d’exploitation Microsoft Windows 11.
Les sites « Warez » contenant du matériel pirate, y compris des logiciels et des jeux, sont connus comme des foyers de packages de logiciels malveillants, y compris des chevaux de Troie, des voleurs d’informations, des logiciels publicitaires et des logiciels nuisibles.
VOIR: Microsoft met en garde : Ce botnet a de nouvelles astuces pour cibler les systèmes Linux et Windows
Des formes de logiciels piratés sont proposées gratuitement et les utilisateurs qui téléchargent le logiciel essaient généralement d’éviter de payer pour des licences logicielles ou du contenu de jeu. Une brève analyse des sites warez actifs révèle des listes d’applications Windows, macOS et Linux, y compris Adobe Photoshop, diverses applications créatives, des versions d’entreprise de logiciels Windows et une multitude de films et de jeux.
Cependant, si vous risquez le téléchargement, vous risquez d’ouvrir votre machine à une infection – et il en va de même si vous téléchargez un logiciel auquel vous faites confiance à partir d’une adresse Web suspecte.
Image : Zscaler
Dans le cas documenté par Zscaler, Vidar est propagé par les acteurs de la menace via les réseaux de phishing et de médias sociaux, y compris Mastodon, qui sont largement utilisés pour faciliter les attaques.
Mastodon est un logiciel open source décentralisé utilisé pour exécuter des réseaux sociaux auto-hébergés. Dans deux cas, les cybercriminels ont créé de nouveaux comptes d’utilisateurs et stocké des adresses de serveurs de commande et de contrôle (C2) dans leurs sections « profil ».
Dans un nouveau développement, le groupe Vidar ouvre également des chaînes Telegram avec le même C2 stocké dans la description de la chaîne. Ce faisant, les logiciels malveillants implantés sur les systèmes vulnérables peuvent récupérer la configuration C2 à partir de ces canaux.
Vidar est une forme malveillante de malware capable d’espionner les utilisateurs et de voler leurs données, y compris les informations sur le système d’exploitation, l’historique du navigateur, les informations d’identification de compte en ligne, les données financières et diverses informations d’identification de portefeuille de crypto-monnaie. Vidar est également diffusé via le kit d’exploitation Fallout.
VOIR: Sécurité du cloud computing : de nouvelles directives visent à protéger vos données contre les cyberattaques et les violations
Alors que le faux site Web prétend être le portail de téléchargement officiel, le fichier malveillant proposé est un .ISO cachant la charge utile Vidar et contenant Themida. Une configuration statique est utilisée pour accéder au C2, mais les profils de médias sociaux peuvent également être utilisés comme URL de sauvegarde.
En plus des fichiers .ISO distribués en tant que faux programmes d’installation de Windows 11, Zscaler a également découvert un référentiel GitHub stockant des versions dérobées d’Adobe Photoshop, une autre option populaire pour les sites warez.
La meilleure option pour atténuer le risque de Vidar est de ne télécharger que des logiciels à partir de domaines officiels de confiance – et de ne pas céder à l’attrait des logiciels gratuits et piratés.
« Les acteurs de la menace qui distribuent les logiciels malveillants Vidar ont démontré leur capacité à inciter les victimes à installer le voleur Vidar en utilisant des thèmes liés aux dernières applications logicielles populaires », déclarent les chercheurs. « Comme toujours, les utilisateurs doivent être prudents lorsqu’ils téléchargent des applications logicielles à partir d’Internet. »
Couverture précédente et connexe
Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0
