Шпионское ПО Vidar теперь скрыто в файлах справки Microsoft

Логотип компании
26.03.2022Автор
Шпионское ПО Vidar теперь скрыто в файлах справки Microsoft
Эта вредоносная программа распространяется с помощью интересной фишинговой тактики.

Вредоносная программа Vidar была обнаружена в новой фишинговой кампании, которая использует формат html-файлов справки Microsoft.

Исследователь кибербезопасности Trustwave Диана Лопера заявила, что шпионское ПО скрыто в скомпилированных html-файлах справки Microsoft (chm), что позволяет избежать обнаружения при рассылке спама по электронной почте.

Vidar — это шпионское ПО для Windows и средство кражи информации, доступное для покупки киберпреступниками. Vidar может собирать данные ОС и пользователя, данные учетных записей онлайн-сервисов и криптовалютной учетной записи, а также информацию о кредитной карте.

Несмотря на то, что такое ПО часто развертывается с помощью кампаний по рассылке спама и фишинга, исследователи также обнаружили вредоносное ПО C++, распространяемое через программу PrivateLoader с оплатой за установку и набор эксплойтов Fallout.

Согласно специалисту из Trustwave, e-mail кампания по распространению Vidar незамысловата. Электронное письмо содержит общую строку темы и вложение, файл "request.doc", который на самом деле является образом диска .iso.

Файл .iso содержит два файла: скомпилированный html-файл справки Microsoft (chm), pss10r.chm, и исполняемый файл app.exe.

Формат chm — это онлайн формат Microsoft для доступа к документации и файлам справки. Сжатый формат html может содержать текст, изображения, таблицы и ссылки, если используется законно.

Однако, злоумышленники используют chm для принудительной загрузки объектов chm при помощи Microsoft Help Viewer (hh.exe).

После распаковки вредоносного chm-файла фрагмент JavaScript запускает в автоматическом режиме app.exe, и в то время как оба файла должны находиться в одном каталоге, это может запустить выполнение полезной нагрузки Vidar.

Полученные командой Trustwave образцы Vidar подключаются к их командно-контрольному серверу (C2) через Mastodon, мультиплатформенную систему социальных сетей с открытым исходным кодом. Выполняется поиск по конкретным профилям, и адреса C2 извлекаются из разделов биографии профиля пользователя.

Это позволяет вредоносной программе настроить свою конфигурацию и приступить к работе по сбору пользовательских данных. Кроме того, было замечено, что Vidar загружал и выполнял другие полезные нагрузки вредоносных программ.

Читайте также
IT-World разбирался, как сделать так, чтобы специалист на удаленке не смотрел весь день сериалы под кофе, или тем более алкоголь? Как помочь ему сохранить рабочий фокус, но при этом не заставлять перерабатывать?

Источник: zdnet.com

Похожие статьи