Hackers proberen malware te verbergen in Microsoft Help-bestanden
Er zijn voorbeelden van de Vidar-stealer-malware gevonden op een plaats die hoogst onwaarschijnlijk lijkt. De malware werd ontdekt door onderzoekers in Microsoft HTML-gebaseerde helpbestanden, van alle plaatsen.
Een beveiligingsonderzoeker bij Trustwave publiceerde een blogpost waarin de campagne werd beschreven die Vidar verspreidde. Deze laatste campagne werd beschreven als vrij rudimentair, afgezien van de twist om malware in helpbestanden te stoppen.
Saai kunstaas, slimme verduistering
De phishing-e-mails die worden gebruikt om de Vidar-infostealer te verspreiden, zien eruit alsof ze het product zijn van een campagne met minimale inspanning. De verleiding is extreem eenvoudig, waarbij de e-mail beweert "belangrijke informatie" te hebben voor het potentiële slachtoffer. Zoals bij bijna elke phishing-campagne het geval is, bevat de e-mail ook een kwaadaardige bijlage. In dit geval kozen de hackers voor een .iso-schijfkopiebestand, hernoemd om eruit te zien als een MS Word .doc-bestand.
In het afbeeldingsbestand bevinden zich slechts twee bestanden: een Microsoft-helpbestand met de naam "pss10r.chm" en een bestand met de naam "app.exe", de initiële payload van Vidar. CHM-bestanden zijn Microsoft-helpbestanden die in verschillende legitieme toepassingen worden gebruikt en gecomprimeerde HTML en mogelijk afbeeldingen bevatten.
De reden dat hackers hun toevlucht hebben genomen tot het gebruik van CHM-bestanden, is dat ze hierdoor de MS Help Viewer-toepassing geforceerd kunnen laden tijdens het openen van het CHM-bestand. Wanneer een met malware doorspekt CHM-bestand op deze manier wordt geopend, wordt het uitvoerbare bestand van Help Viewer stil opgeroepen en gebruikt om de initiële payload van app.exe voor Vidar te laden.
Zodra het uitvoerbare bestand is gestart, haalt de malware zijn afhankelijkheden en instellingen van zijn C&C-server. Zodra dit is gebeurd, haalt de malware alle beschikbare informatie van het systeem en brengt deze vervolgens terug naar de command and control-server. Onderzoekers merkten op dat ze eerder soortgelijke nesting van kwaadaardige payloads en zelfs het gebruik van helpbestanden hebben waargenomen. Dit alles is gewoon een andere manier voor hackers om geautomatiseerde detectie op het systeem van het slachtoffer zo lang mogelijk te vermijden.
