Οι χάκερ προσπαθούν να κρύψουν κακόβουλο λογισμικό στα αρχεία βοήθειας της Microsoft
Δείγματα του κακόβουλου λογισμικού κλοπής Vidar έχουν βρεθεί σε ένα μέρος που φαίνεται εξαιρετικά απίθανο. Το κακόβουλο λογισμικό ανακαλύφθηκε από ερευνητές μέσα σε αρχεία βοήθειας που βασίζονται σε HTML της Microsoft, σε όλα τα μέρη.
Ένας ερευνητής ασφάλειας του Trustwave δημοσίευσε μια ανάρτηση ιστολογίου που περιγράφει λεπτομερώς την καμπάνια που διέδιδε το Vidar. Αυτή η πιο πρόσφατη καμπάνια περιγράφηκε ως αρκετά στοιχειώδης, εκτός από την ανατροπή της προσκόλλησης κακόβουλου λογισμικού στα αρχεία βοήθειας.
Βαρετό δέλεαρ, έξυπνη συσκότιση
Τα μηνύματα ηλεκτρονικού ψαρέματος που χρησιμοποιούνται για τη διάδοση του Vidar infostealer μοιάζουν σαν να είναι προϊόν μιας καμπάνιας ελάχιστης προσπάθειας. Το δέλεαρ είναι εξαιρετικά βασικό, με το email να ισχυρίζεται ότι έχει «σημαντικές πληροφορίες» για το πιθανό θύμα. Όπως συμβαίνει με σχεδόν κάθε καμπάνια phishing, το email περιέχει επίσης ένα κακόβουλο συνημμένο. Σε αυτήν την περίπτωση, οι χάκερ επέλεξαν ένα αρχείο εικόνας δίσκου .iso, το οποίο μετονομάστηκε ώστε να μοιάζει με αρχείο MS Word .doc.
Μέσα στο αρχείο εικόνας υπάρχουν μόνο δύο αρχεία - ένα αρχείο βοήθειας της Microsoft που ονομάζεται "pss10r.chm" και ένα αρχείο που ονομάζεται "app.exe", το οποίο είναι το αρχικό ωφέλιμο φορτίο του Vidar. Τα αρχεία CHM είναι αρχεία βοήθειας της Microsoft που χρησιμοποιούνται σε διάφορες νόμιμες εφαρμογές και περιέχουν συμπιεσμένο HTML και ενδεχομένως εικόνες.
Ο λόγος που οι χάκερ κατέφευγαν στη χρήση αρχείων CHM είναι ότι τους επιτρέπει να φορτώσουν αναγκαστικά την εφαρμογή MS Help Viewer στη διαδικασία ανοίγματος του αρχείου CHM. Όταν ένα αρχείο CHM που έχει δεμένα κακόβουλο λογισμικό ανοίγει με αυτόν τον τρόπο, το εκτελέσιμο πρόγραμμα Help Viewer καλείται σιωπηλά και χρησιμοποιείται για τη φόρτωση του αρχικού ωφέλιμου φορτίου app.exe για το Vidar.
Μόλις εκκινηθεί το εκτελέσιμο, το κακόβουλο λογισμικό αφαιρεί τις εξαρτήσεις και τις ρυθμίσεις του από τον διακομιστή C&C. Μόλις γίνει αυτό, το κακόβουλο λογισμικό προχωρά στην απόξεση οποιασδήποτε διαθέσιμης πληροφορίας από το σύστημα και στη συνέχεια τις μεταφέρει πίσω στον διακομιστή εντολών και ελέγχου. Οι ερευνητές παρατήρησαν ότι έχουν παρατηρήσει παρόμοια ένθεση κακόβουλων ωφέλιμων φορτίων και ακόμη και χρήση αρχείων βοήθειας στο παρελθόν. Όλα αυτά είναι απλώς ένας άλλος τρόπος για τους χάκερ να προσπαθήσουν να αποφύγουν τον αυτοματοποιημένο εντοπισμό στο σύστημα του θύματος για όσο το δυνατόν περισσότερο.
