Hackers tentam ocultar malware nos arquivos de ajuda da Microsoft

Amostras do malware ladrão Vidar foram encontradas em um lugar que parece altamente improvável. O malware foi descoberto por pesquisadores dentro dos arquivos de ajuda baseados em HTML da Microsoft, de todos os lugares.

Um pesquisador de segurança da Trustwave publicou uma postagem no blog detalhando a campanha que estava divulgando o Vidar. Esta última campanha foi descrita como bastante rudimentar, exceto pelo truque de colocar malware dentro de arquivos de ajuda.

Atração chata, ofuscação inteligente

Os e-mails de phishing usados para espalhar o infostealer Vidar parecem ser o produto de uma campanha de esforço mínimo. A isca é extremamente básica, com o e-mail alegando ter "informações importantes" para a vítima em potencial. Como é o caso de quase todas as campanhas de phishing, o e-mail também contém um anexo malicioso. Nesse caso, os hackers optaram por um arquivo de imagem de disco .iso, renomeado para se parecer com um arquivo .doc do MS Word.

Dentro do arquivo de imagem há apenas dois arquivos - um arquivo de ajuda da Microsoft chamado "pss10r.chm" e um arquivo chamado "app.exe", que é a carga útil inicial do Vidar. Os arquivos CHM são arquivos de ajuda da Microsoft usados em vários aplicativos legítimos e contêm HTML compactado e potencialmente imagens.

A razão pela qual os hackers recorreram ao uso de arquivos CHM é que eles permitem que eles forcem o carregamento do aplicativo MS Help Viewer no processo de abertura do arquivo CHM. Quando um arquivo CHM com malware é aberto dessa maneira, o executável do Help Viewer é chamado silenciosamente e é usado para carregar a carga útil inicial do app.exe para o Vidar.

Depois que o executável é iniciado, o malware pega suas dependências e configurações de seu servidor C&C. Feito isso, o malware consegue raspar qualquer informação disponível do sistema e depois transfere-a de volta para o servidor de comando e controle. Os pesquisadores observaram que já observaram aninhamento semelhante de cargas maliciosas e até mesmo o uso de arquivos de ajuda antes. Tudo isso é apenas mais uma maneira de os hackers tentarem evitar a detecção automatizada no sistema da vítima pelo maior tempo possível.

Por Zaib
March 24, 2022
Computer Security
Portuguese
March 24, 2022
Computer Security

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

11 days atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

18 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.