SpiderLabs, zespół ds. bezpieczeństwa w firmie Trustwave zajmującej się cyberbezpieczeństwem, zaalarmował użytkowników systemu Windows o nowej kampanii złośliwego oprogramowania o nazwie Vidar, która podszywa się pod Microsoft. wsparcie lub plik pomocy. W ten sposób niczego niepodejrzewający użytkownicy mogą łatwo stać się ofiarami, a złośliwe oprogramowanie Vidar może wykraść informacje o wykorzystanych ofiarach.
Skompilowane przez Microsoft pliki Pomocy HTML (CHM) , choć obecnie są nieco rzadkie, są używane do dostarczania różnych dokumentów pomocy i tym podobnych. To złośliwe złośliwe oprogramowanie Vidar CHM jest dystrybuowane za pośrednictwem poczty e-mail jako obraz ISO, który działa jak kontener. ISO jest zamaskowany jako plik „request.doc”.
Wewnątrz tego pliku ISO request.doc znajduje się kilka złośliwych plików, skompilowana pomoc Microsoft HTML Help (CHM) nazwana „pss10r.chm” oraz plik wykonywalny nazwany „app.exe”. Gdy użytkownik zostanie nakłoniony do wyodrębnienia tych plików, jego system zostanie naruszony. Pierwszy z nich, „pss10r.chm”, jest w rzeczywistości ogólnie uzasadnionym plikiem, ale towarzyszącym mu plikiem exe jest Vidar.
Oto obraz porównawczy legalnego „pss10r.chm” i złośliwego użytego w tej kampanii Vidar:
Celem złośliwego CHM jest uruchomienie innego pliku, app.exe, który zawiera szkodliwe oprogramowanie Vidar, w celu pomyślnego dostarczenia ładunku. Więcej szczegółów technicznych można znaleźć na oficjalnym blogu .
Jak wspomniano powyżej, Vidar to złośliwe oprogramowanie, które kradnie informacje i dane, w tym z przeglądarek. Kampania jest podobna do kampanii złośliwego oprogramowania RedLine, o której dowiedzieliśmy się w lutym.
Dodaj komentarz