Hackere forsøger at skjule malware i Microsofts hjælpefiler

Prøver af Vidar-tyverens malware er blevet fundet et sted, der virker meget usandsynligt. Malwaren blev opdaget af forskere i Microsoft HTML-baserede hjælpefiler, alle steder.

En sikkerhedsforsker med Trustwave offentliggjorde et blogindlæg, der beskriver kampagnen, der spredte Vidar. Denne seneste kampagne blev beskrevet som temmelig rudimentær, bortset fra tvistet med at stikke malware i hjælpefiler.

Kedeligt lokkemiddel, smart sløring

Phishing-e-mails, der bruges til at sprede Vidar infostealer, ser ud som om de er et produkt af en minimumsindsatskampagne. Lokkemidlet er ekstremt grundlæggende, hvor e-mailen hævder at have "vigtig information" til det potentielle offer. Som det er tilfældet med næsten alle phishing-kampagner, indeholder e-mailen også en ondsindet vedhæftet fil. I dette tilfælde valgte hackerne en .iso diskimage-fil, omdøbt til at ligne en MS Word .doc-fil.

Inde i billedfilen er der kun to filer - en Microsoft hjælpefil kaldet "pss10r.chm" og en fil kaldet "app.exe", som er Vidars indledende nyttelast. CHM-filer er Microsoft-hjælpefiler, der bruges i forskellige lovlige programmer og indeholder komprimeret HTML og muligvis billeder.

Grunden til, at hackere greb til at bruge CHM-filer, er, at det giver dem mulighed for at tvinge MS Help Viewer-applikationen i gang med at åbne CHM-filen. Når en CHM-fil med malware åbnes på denne måde, kaldes den eksekverbare Help Viewer lydløst op og bruges til at indlæse app.exe-indledende nyttelast for Vidar.

Når den eksekverbare er lanceret, henter malwaren sine afhængigheder og indstillinger fra sin C&C-server. Når dette er gjort, kommer malwaren til at skrabe enhver tilgængelig information fra systemet og overfører den derefter tilbage til kommando- og kontrolserveren. Forskere bemærkede, at de før har observeret lignende indlejring af ondsindede nyttelaster og endda brugen af hjælpefiler. Alt dette er blot endnu en måde for hackere at forsøge at undgå automatisk registrering på ofrets system så længe som muligt.

I Zaib
March 24, 2022
Computer Security
Dansk
March 24, 2022
Computer Security

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

11 days siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

18 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.