Magukat Microsoft Windows 11 letöltési portálnak álcázó weboldalakkal a Vidar trójait igyekeznek a kiberbűnözők eljuttatni a felhasználókhoz.

A Zscaler jelentése rántja le a leplet több olyan weboldalról, ahonnan a megtévesztett felhasználók nem Windows 11-es operációs rendszert, hanem a Vidar kémprogramot töltik le. A hivatalos weboldalhoz hasonlító site-okon egy 300 MB-nál nagyobb ISO fájlt töltenek le a felhasználók, ezzel próbálva megkerülni a biztonsági megoldásokat. (A biztonsági termékek a nagyobb fájlokat sokszor nem vizsgálják át, hogy ne akasszák meg a forgalmat.)

Lejárt tanúsítvány, hamis weboldalak

Az ISO fájlt egy lejárt Avast tanúsítvánnyal írtak alá, ami valószínűleg az Avast 2019 októberi sikeres hackelése után került az alvilág kezébe.

A hamis weboldalakat idén április 20-án regisztrálták, ezek többek között a ms-win11[.]com, win11-serv[.]com, win11install[.]com és ms-teams-app[.]net. Az utolsó oldal arra utal, hogy a bűnözők hamis MS Teams fájllal is próbálják a kártevőt terjeszteni, a szakértők szerint a hamis Adobe Photoshop is a kedvelt terjesztési szoftverek között van.

A 330 MB-os fájlban gyakorlatilag a 3,3 MB-os Vidar kártevő lapul. Ha a gyanútlan felhasználó telepíti gépére ezt a hamis Windows 11 telepítőt, akkor a Vidar indul el. Az információlopó alkalmazás egy távoli vezérlőközponthoz csatlakozik, majd az sqlite3.dll és vcruntime140.dll fájlok segítségével adatokat lop el a megfertőzött gépről.

Legtöbbször ingyen jár a hivatalos verzió is

Egyébként a bűnözők szeretettel hamisítják a Microsoft és a kapcsolódó termékek oldalait, az átverések 36,6 százalékában a redmonti szoftveróriás nevével élnek vissza.

A Windows 11-gyet hivatalosan tavaly októberben mutatták be, első körben csak az új számítógépeken érhető el. A Windows 10 operációs rendszerű, az új operációs rendszerrel kompatibilis számítógépekre a frissítésre még várni kell. Aki nem szeretne várni, az a Microsoft hivatalos weboldaláról ingyen letöltheti a kártevőmentes, hivatalos telepítőt.