Шпионское ПО Vidar теперь скрыто в файлах справки Microsoft
Вредоносная программа Vidar была обнаружена в новой фишинговой кампании, которая использует формат html-файлов справки Microsoft.
Исследователь кибербезопасности Trustwave Диана Лопера заявила, что шпионское ПО скрыто в скомпилированных html-файлах справки Microsoft (chm), что позволяет избежать обнаружения при рассылке спама по электронной почте.
Vidar — это шпионское ПО для Windows и средство кражи информации, доступное для покупки киберпреступниками. Vidar может собирать данные ОС и пользователя, данные учетных записей онлайн-сервисов и криптовалютной учетной записи, а также информацию о кредитной карте.
Несмотря на то, что такое ПО часто развертывается с помощью кампаний по рассылке спама и фишинга, исследователи также обнаружили вредоносное ПО C++, распространяемое через программу PrivateLoader с оплатой за установку и набор эксплойтов Fallout.
Согласно специалисту из Trustwave, e-mail кампания по распространению Vidar незамысловата. Электронное письмо содержит общую строку темы и вложение, файл "request.doc", который на самом деле является образом диска .iso.
Файл .iso содержит два файла: скомпилированный html-файл справки Microsoft (chm), pss10r.chm, и исполняемый файл app.exe.
Формат chm — это онлайн формат Microsoft для доступа к документации и файлам справки. Сжатый формат html может содержать текст, изображения, таблицы и ссылки, если используется законно.
Однако, злоумышленники используют chm для принудительной загрузки объектов chm при помощи Microsoft Help Viewer (hh.exe).
После распаковки вредоносного chm-файла фрагмент JavaScript запускает в автоматическом режиме app.exe, и в то время как оба файла должны находиться в одном каталоге, это может запустить выполнение полезной нагрузки Vidar.
Полученные командой Trustwave образцы Vidar подключаются к их командно-контрольному серверу (C2) через Mastodon, мультиплатформенную систему социальных сетей с открытым исходным кодом. Выполняется поиск по конкретным профилям, и адреса C2 извлекаются из разделов биографии профиля пользователя.
Это позволяет вредоносной программе настроить свою конфигурацию и приступить к работе по сбору пользовательских данных. Кроме того, было замечено, что Vidar загружал и выполнял другие полезные нагрузки вредоносных программ.
Источник: zdnet.com