Gli hacker tentano di nascondere il malware nei file della Guida di Microsoft
Campioni del malware Vidar stealer sono stati trovati in un luogo che sembra altamente improbabile. Il malware è stato scoperto dai ricercatori all'interno dei file della guida basati su HTML di Microsoft, di tutti i posti.
Un ricercatore di sicurezza con Trustwave ha pubblicato un post sul blog che descrive in dettaglio la campagna che stava diffondendo Vidar. Quest'ultima campagna è stata descritta come piuttosto rudimentale, a parte la torsione di attaccare malware all'interno dei file della guida.
Esca noiosa, offuscamento intelligente
Le e-mail di phishing utilizzate per diffondere l'infostealer di Vidar sembrano il prodotto di una campagna di minimo sforzo. L'esca è estremamente semplice, con l'e-mail che afferma di avere "informazioni importanti" per la potenziale vittima. Come nel caso di quasi tutte le campagne di phishing, l'e-mail contiene anche un allegato dannoso. In questo caso, gli hacker hanno optato per un file immagine del disco .iso, rinominato per assomigliare a un file .doc di MS Word.
All'interno del file immagine ci sono solo due file: un file della guida di Microsoft chiamato "pss10r.chm" e un file chiamato "app.exe", che è il payload iniziale di Vidar. I file CHM sono file della guida di Microsoft utilizzati in varie applicazioni legittime e contengono HTML compresso e potenzialmente immagini.
Il motivo per cui gli hacker sono ricorsi all'utilizzo dei file CHM è che consente loro di caricare forzatamente l'applicazione MS Help Viewer nel processo di apertura del file CHM. Quando un file CHM contenente malware viene aperto in questo modo, l'eseguibile di Help Viewer viene richiamato automaticamente e viene utilizzato per caricare il payload iniziale app.exe per Vidar.
Una volta avviato l'eseguibile, il malware estrae le sue dipendenze e le impostazioni dal suo server C&C. Una volta fatto ciò, il malware riesce a raschiare tutte le informazioni disponibili dal sistema e quindi le trasferisce di nuovo al server di comando e controllo. I ricercatori hanno notato di aver già osservato un annidamento simile di payload dannosi e persino l'uso di file della guida. Tutto questo è solo un altro modo per gli hacker di cercare di evitare il rilevamento automatico sul sistema della vittima il più a lungo possibile.
