TEMPO.CO, Jakarta - Sebuah domain palsu yang menyamar sebagai portal unduhan Microsoft Windows 11 mencoba mengelabui pengguna untuk menyebarkan file instalasi trojan yang menginfeksi sistem dengan malware pencuri informasi Vidar.

Perusahaan keamanan siber, Zscaler, melaporkan ada situs palsu dibuat untuk mendistribusikan file ISO berbahaya yang mengarah pada infeksi pencuri info Vidar di titik akhir.

"Varian malware Vidar ini mengambil konfigurasi C2 dari saluran media sosial yang dikendalikan penyerang yang dihosting di Jaringan Telegram dan Mastodon," ujar Zscaler dalam laporan yang dikutip The Hacker News, 19 Mei 2022.

Beberapa domain vektor distribusi rogue yang didaftarkan pada 20 April lalu, antara lain ms-win11 [.] com, win11-serv [.] com, dan win11install [.] com, serta ms-teams-app [. ] bersih.

Selain itu, perusahaan keamanan siber memperingatkan bahwa aktor ancaman di balik kampanye peniruan identitas juga memanfaatkan versi pintu belakang Adobe Photoshop dan perangkat lunak sah lainnya seperti Microsoft Teams untuk mengirimkan malware Vidar.

File ISO itu berisi file yang dapat dieksekusi yang berukuran luar biasa besar (lebih dari 300MB) dalam upaya untuk menghindari deteksi oleh solusi keamanan dan ditandatangani dengan sertifikat kedaluwarsa dari Avast yang kemungkinan dicuri setelah pelanggaran terakhir pada Oktober 2019.

Tetapi tertanam dalam biner 330MB adalah executable berukuran 3,3MB yang merupakan malware Vidar, dengan sisa konten file diisi dengan 0x10 byte untuk memperbesar ukuran secara artifisial.

Pada fase berikutnya dari rantai serangan, Vidar membuat koneksi ke server command-and-control (C2) jarak jauh untuk mengambil file DLL yang sah seperti sqlite3.dll dan vcruntime140.dll untuk menyedot data berharga dari sistem yang disusupi.

Juga penting adalah penyalahgunaan Mastodon dan Telegram oleh aktor ancaman untuk menyimpan alamat IP C2 di bidang deskripsi akun dan komunitas yang dikendalikan penyerang.

Temuan ini menambah daftar metode berbeda yang telah ditemukan dalam sebulan terakhir untuk mendistribusikan malware Vidar, termasuk file Microsoft Compiled HTML Help (CHM) dan loader bernama Colibri.

"Para pelaku ancaman yang mendistribusikan malware Vidar telah menunjukkan kemampuan mereka kepada para korban rekayasa sosial untuk menginstal pencuri Vidar menggunakan tema yang terkait dengan aplikasi perangkat lunak populer terbaru," kata para peneliti.

"Seperti biasa, pengguna harus berhati-hati saat mengunduh aplikasi perangkat lunak dari Internet dan mengunduh perangkat lunak hanya dari situs web vendor resmi."

THE HACKER NEWS

Baca:
Awas Malware, Jangan Gunakan Alat Akses Play Store untuk Windows 11

Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.