Zscalerは5月19日(現地時間)、「Microsoft Windows 11 help Files have Vidar Spyware|Zscaler」において、MicrosoftのWindows 11ダウンロードポータルサイトを偽装するために確保したとみられるドメインを使ったサイトで、情報窃取型のマルウェアへの感染を促すソフトウェアの配布が行われていることを確認したと伝えた。
このなりすましのWebサイトは、最終的にVidarと呼ばれる情報窃取型のマルウェアの亜種への感染を行うためのISOファイルが配布されていたという。この情報窃取型マルウェアの亜種を展開しているサイバー犯罪グループは、Adobe Photoshopにバックドアを仕込んだ改変版を使っていたり、Vidarマルウェア亜種の感染を促すためにMicrosoft Teamsといった合法的なソフトウェアも活用していたりすると指摘されており注意が必要。
犯罪グループはセキュリティソフトウェアによるVidar亜種の検出を避けるために、330MBというサイズが大きなISOファイルの形式で配布を行っているという。しかし、実際にVidarマルウェア亜種は3.3MBの実行ファイルであり、残りの部分は0x10バイトが埋め込まれた偽のデータとされている。そして、ファイルはAvastから窃取されたと見られる証明書で署名されており、ユーザは正規のファイルだと間違えやすい可能性がある。
Zscalerはこうしたサイバー攻撃の被害者とならないために、インターネットからアプリケーションをダウンロードするときはベンダの公式のWebサイトからのみダウンロードを行うようにアドバイスしている。