Magukat Microsoft Windows 11 letöltési portálnak álcázó weboldalakkal a Vidar trójait igyekeznek a kiberbűnözők eljuttatni a szoftver használóinak számítógépeire.
A Zscaler jelentése rántja le a leplet több olyan weboldalról, ahonnan a megtévesztett felhasználók nem Windows 11-es operációs rendszert, hanem a Vidar kémprogramot töltik le. A hivatalos weboldalhoz hasonlító site-okon egy 300 MB-nál nagyobb ISO-fájlt töltenek le a használók, ezzel próbálva megkerülni a biztonsági megoldásokat. (A biztonsági termékek a nagyobb fájlokat sokszor nem vizsgálják át, hogy ne akasszák meg a forgalmat.)
Az ISO-fájlt egy lejárt Avast-tanúsítvánnyal írtak alá, ami valószínűleg az Avast 2019. októberi sikeres hackelése után jutott az alvilág kezére.
A hamis weboldalakat az idén április 20-án regisztrálták, ezek a többi között az ms-win11[.]com, win11-serv[.]com, win11install[.]com és ms-teams-app[.]net. Az utolsó oldal arra utal, hogy a bűnözők hamis MS Teams fájllal is próbálják a kártevőt terjeszteni, a szakértők szerint a hamis Adobe Photoshop is a kedvelt terjesztési szoftverek között van.
A 330 MB-os fájlban gyakorlatilag a 3,3 MB-os Vidar kártevő lapul. Ha a gyanútlan használó telepíti gépére ezt a hamis Windows 11 telepítőt, akkor a Vidar indul el. Az információlopó alkalmazás egy távoli vezérlőközponthoz csatlakozik, majd az sqlite3.dll és vcruntime140.dll fájlok segítségével adatokat lop el a megfertőzött gépről.
Egyébként a bűnözők kedvvel hamisítják a Microsoft és a kapcsolódó termékek oldalait, az átverések 36,6 százalékában a redmonti szoftveróriás nevével élnek vissza.
A Windows 11-et hivatalosan tavaly októberben mutatták be, első körben csak új számítógépeken érhető el. A Windows 10 operációs rendszerű, az új operációs rendszerrel kompatibilis számítógépek frissítésére még várni kell. Aki nem szeretne várni, az a Microsoft hivatalos weboldaláról ingyen letöltheti a kártevőt nem tartalmazó, hivatalos telepítőt.