A hackerek megpróbálják elrejteni a rosszindulatú programokat a Microsoft súgófájljaiban
A Vidar lopó rosszindulatú program mintáit olyan helyen találták, amely nagyon valószínűtlennek tűnik. A kártevőt a Microsoft HTML-alapú súgófájljaiban fedezték fel kutatók, mindenhol.
A Trustwave egyik biztonsági kutatója blogbejegyzést tett közzé a Vidart terjesztő kampányról. Ezt a legutóbbi kampányt meglehetősen kezdetlegesnek minősítették, kivéve a rosszindulatú programok súgófájlokba való ragasztásának csavarját.
Unalmas csali, ügyes ködösítés
A Vidar infostealer terjesztésére használt adathalász e-mailek úgy néznek ki, mintha egy minimális erőfeszítést igénylő kampány termékei lennének. A csali rendkívül alapvető, az e-mail azt állítja, hogy "fontos információkat" tartalmaz a potenciális áldozat számára. Mint szinte minden adathalász kampánynál, az e-mail is tartalmaz egy rosszindulatú mellékletet. Ebben az esetben a hackerek egy .iso lemezképfájlt választottak, amelyet MS Word .doc fájlra neveztek át.
A képfájlon belül csak két fájl található: egy Microsoft súgófájl, a „pss10r.chm” és egy „app.exe” nevű fájl, amely a Vidar kezdeti hasznos tartalma. A CHM fájlok olyan Microsoft súgófájlok, amelyeket különféle legitim alkalmazásokban használnak, és tömörített HTML-kódot és esetleg képeket tartalmaznak.
A hackerek azért folyamodtak a CHM fájlok használatához, mert lehetővé teszi számukra az MS Help Viewer alkalmazás kényszerített betöltését a CHM fájl megnyitásának folyamata során. Ha egy rosszindulatú programokkal teli CHM-fájlt ilyen módon nyit meg, a Help Viewer végrehajtható fájlja csendben előhívódik, és az app.exe kezdeti hasznos fájl betöltésére szolgál a Vidar számára.
A végrehajtható fájl elindítása után a kártevő megragadja a függőségeit és beállításait a C&C szerveréről. Amint ez megtörtént, a rosszindulatú program minden rendelkezésre álló információt kikapar a rendszerből, majd visszaküldi a parancs- és vezérlőszervernek. A kutatók megjegyezték, hogy korábban is megfigyelték a rosszindulatú rakományok hasonló egymásba ágyazását, sőt a súgófájlok használatát is. Mindez csak egy újabb módja annak, hogy a hackerek megpróbálják elkerülni az automatikus észlelést az áldozat rendszerén, ameddig csak lehetséges.
