Les pirates tentent de masquer les logiciels malveillants dans les fichiers d'aide de Microsoft
Des échantillons du malware voleur Vidar ont été trouvés dans un endroit qui semble hautement improbable. Le logiciel malveillant a été découvert par des chercheurs à l'intérieur des fichiers d'aide Microsoft HTML, de tous les endroits.
Un chercheur en sécurité de Trustwave a publié un article de blog détaillant la campagne qui diffusait Vidar. Cette dernière campagne a été décrite comme assez rudimentaire, à l'exception de la torsion consistant à coller des logiciels malveillants dans les fichiers d'aide.
Leurre ennuyeux, obscurcissement astucieux
Les e-mails de phishing utilisés pour diffuser le voleur d'informations Vidar semblent être le produit d'une campagne d'effort minimum. Le leurre est extrêmement basique, l'e-mail prétendant avoir des "informations importantes" pour la victime potentielle. Comme c'est le cas pour presque toutes les campagnes de phishing, l'e-mail contient également une pièce jointe malveillante. Dans ce cas, les pirates ont opté pour un fichier image disque .iso, renommé pour ressembler à un fichier MS Word .doc.
À l'intérieur du fichier image se trouvent seulement deux fichiers - un fichier d'aide Microsoft appelé "pss10r.chm" et un fichier appelé "app.exe", qui est la charge utile initiale de Vidar. Les fichiers CHM sont des fichiers d'aide Microsoft utilisés dans diverses applications légitimes et contiennent du code HTML compressé et potentiellement des images.
La raison pour laquelle les pirates ont eu recours aux fichiers CHM est que cela leur permet de forcer le chargement de l'application MS Help Viewer lors du processus d'ouverture du fichier CHM. Lorsqu'un fichier CHM contenant des logiciels malveillants est ouvert de cette manière, l'exécutable de la visionneuse d'aide est appelé en mode silencieux et est utilisé pour charger la charge utile initiale app.exe pour Vidar.
Une fois l'exécutable lancé, le malware récupère ses dépendances et ses paramètres depuis son serveur C&C. Une fois cela fait, le logiciel malveillant parvient à récupérer toutes les informations disponibles du système, puis les transfère au serveur de commande et de contrôle. Les chercheurs ont noté qu'ils avaient déjà observé une imbrication similaire de charges utiles malveillantes et même l'utilisation de fichiers d'aide. Tout cela n'est qu'un autre moyen pour les pirates d'essayer d'éviter la détection automatisée sur le système de la victime aussi longtemps que possible.
