Hakerzy próbują ukryć złośliwe oprogramowanie w plikach pomocy Microsoft
Próbki złośliwego oprogramowania złodzieja Vidar zostały znalezione w miejscu, które wydaje się bardzo mało prawdopodobne. Złośliwe oprogramowanie zostało wykryte przez badaczy w plikach pomocy Microsoft opartych na HTML ze wszystkich miejsc.
Badacz bezpieczeństwa z Trustwave opublikował post na blogu szczegółowo opisujący kampanię, która rozprzestrzeniała Vidar. Ta najnowsza kampania została opisana jako dość prymitywna, z wyjątkiem wstawiania złośliwego oprogramowania w plikach pomocy.
Nudna przynęta, sprytne zaciemnianie
E-maile phishingowe wykorzystywane do rozpowszechniania złodzieja informacji Vidar wyglądają, jakby były produktem kampanii wymagającej minimum wysiłku. Pokusa jest niezwykle prosta, a e-mail twierdzi, że zawiera „ważne informacje” dla potencjalnej ofiary. Jak w przypadku prawie każdej kampanii phishingowej, wiadomość e-mail zawiera również złośliwy załącznik. W tym przypadku hakerzy wybrali plik obrazu dysku .iso, którego nazwa została zmieniona tak, aby wyglądała jak plik MS Word .doc.
Wewnątrz pliku obrazu znajdują się tylko dwa pliki - plik pomocy Microsoft o nazwie „pss10r.chm” i plik o nazwie „app.exe”, który jest początkową zawartością Vidara. Pliki CHM to pliki pomocy firmy Microsoft, które są używane w różnych legalnych aplikacjach i zawierają skompresowany kod HTML i potencjalnie obrazy.
Powodem, dla którego hakerzy uciekają się do korzystania z plików CHM, jest to, że pozwala im wymusić załadowanie aplikacji MS Help Viewer w procesie otwierania pliku CHM. Gdy plik CHM zawierający złośliwe oprogramowanie jest otwierany w ten sposób, plik wykonywalny przeglądarki pomocy jest wywoływany po cichu i jest używany do załadowania początkowego ładunku app.exe dla Vidara.
Po uruchomieniu pliku wykonywalnego złośliwe oprogramowanie pobiera swoje zależności i ustawienia ze swojego serwera C&C. Po wykonaniu tej czynności złośliwe oprogramowanie pobiera wszelkie dostępne informacje z systemu, a następnie przesyła je z powrotem do serwera dowodzenia i kontroli. Badacze zauważyli, że już wcześniej obserwowali podobne zagnieżdżanie szkodliwych ładunków, a nawet korzystanie z plików pomocy. Wszystko to jest tylko kolejnym sposobem, w jaki hakerzy mogą próbować jak najdłużej unikać automatycznego wykrywania w systemie ofiary.
