falskewindows11domenerservererskadevare
Sider som dette servert fra ulike domener innholder en trojaner døpt Vidar som stjeler personinformasjon. Bilde: Zscaler

Annonse


Trykker du her er du ille ute

Kriminelle bander prøver stadig å lure intetanende til å laste ned det som ser ut som Windows 11 fra nettsider som i første øyekast kan se ut som ekte vare.

Fortsetter å lure interesserte som ønsker seg Windows 11

Det var i april at sikkerhetsselskapet ThreatLabz advarte mot de farlige domenene som laster ned en skadevare som er døpt Vidar. Beklager på forskudd til alle som bærer navnet.

Uansett, nå skal det være registrert en rekke nye lure-domener som laster ned trojaneren som stjeler personinformasjon fra infiserte maskiner – vi snakker her om IP-adresser, nettleserhistorikk (inkludert fra nettlesere som kan koble seg til TOR-nettverket), passord, meldinger fra lynmeldingstjenester og mer. I tillegg kan det knipse skjermbilder av skjermen til ofrene og plukke hva de ønsker å stjele.

Pass deg for disse domenene

Angriperne bruker Telegram og Mastodon for å styre Vidar-trojaneren til å gjøre det de ønsker via en ønsket C2 (også kjent som “Command and Control”)-konfigurasjon.

Annonse


Fra C2 sendes det ut en fil som heter update.zip som består av følgende DLL-filer som styrer Vidar:

  • freebl3.dll (ef2834ac4ee7d6724f255beaf527e635) 
  • mozglue.dll (8f73c08a9660691143661bf7332c3c27)
  • msvcp140.dll (109f0f02fd37c84bfc7508d4227d7ed5)
  • nss3.dll (bfac4e3c5908856ba17d41edcd455a51)
  • softokn3.dll (a2ee53de9167bf0d6c019303b7ca84e5) 
  • sqlite3.dll (e477a96c8f2b18d6b5c27bde49c990bf)  
  • vcruntime140.dll (7587bf9cb4147022cd5681b015183046)

Selve ISO-filen som serveres på domenene under er på over 300MB. Filen er liksom-garantert av sikkerhetsprogramvaren Avast, men sertifikatet har selvsagt gått ut på dato:

Bilde: zscaler.com.

Dette er domene du ikke bør besøke og spesielt ikke laste ned noe fra:

  • ms-win11[.]com
  • ms-win11.midlandscancer[.]com
  • win11-serv4[.]com
  • win11-serv[.]com
  • win11install[.]com
  • ms-teams-app[.]net

Annonse


Annonse


Annonse


Annonse


Annonse