ハッカーはMicrosoftヘルプファイルにマルウェアを隠そうとします

Vidarスティーラーマルウェアのサンプルは、非常にありそうもない場所で発見されました。このマルウェアは、あらゆる場所のMicrosoftHTMLベースのヘルプファイル内の研究者によって発見されました。

Trustwaveのセキュリティ研究者は、Vidarを広めているキャンペーンの詳細をブログに投稿しました。この最新のキャンペーンは、ヘルプファイル内にマルウェアを貼り付けるというひねりを除けば、かなり初歩的なものとして説明されていました。

退屈なルアー、巧妙な難読化

Vidar infostealerを広めるために使用されるフィッシングメールは、最小限の労力のキャンペーンの結果であるように見えます。誘惑は非常に基本的であり、電子メールは潜在的な被害者にとって「重要な情報」を持っていると主張しています。ほとんどすべてのフィッシングキャンペーンの場合と同様に、電子メールには悪意のある添付ファイルも含まれています。この場合、ハッカーは.isoディスクイメージファイルを選択し、名前をMSWord.docファイルのように変更しました。

イメージファイル内には、「pss10r.chm」と呼ばれるMicrosoftヘルプファイルと、Vidarの初期ペイロードである「app.exe」と呼ばれるファイルの2つのファイルがあります。 CHMファイルは、さまざまな正規のアプリケーションで使用されるMicrosoftヘルプファイルであり、圧縮されたHTMLと場合によっては画像が含まれています。

ハッカーがCHMファイルの使用に頼った理由は、CHMファイルを開くプロセスでMSHelpViewerアプリケーションを強制的にロードできるようにするためです。マルウェアが混入したCHMファイルがこの方法で開かれると、Help Viewer実行可能ファイルがサイレントに呼び出され、Vidarのapp.exe初期ペイロードをロードするために使用されます。

実行可能ファイルが起動されると、マルウェアはC＆Cサーバーから依存関係と設定を取得します。これが行われると、マルウェアはシステムから利用可能な情報を取得し、それをコマンドおよび制御サーバーに転送します。研究者は、以前に悪意のあるペイロードの同様のネスト、さらにはヘルプファイルの使用を観察したことを指摘しました。これはすべて、ハッカーが被害者のシステムでの自動検出を可能な限り回避しようとするもう1つの方法です。