Хакеры пытаются скрыть вредоносное ПО в файлах справки Microsoft

Образцы вредоносного ПО для кражи Vidar были обнаружены в месте, которое кажется маловероятным. Вредоносная программа была обнаружена исследователями в HTML-файлах справки Microsoft.

Исследователь безопасности из Trustwave опубликовал в блоге сообщение с подробным описанием кампании по распространению Vidar. Эта последняя кампания была описана как довольно рудиментарная, если не считать хитрости с внедрением вредоносного ПО в файлы справки.

Скучная приманка, умное запутывание

Фишинговые электронные письма, используемые для распространения инфостилера Vidar, выглядят так, как будто они являются продуктом кампании с минимальными усилиями. Приманка чрезвычайно проста: в электронном письме утверждается, что оно содержит «важную информацию» для потенциальной жертвы. Как и в случае почти любой фишинговой кампании, электронное письмо также содержит вредоносное вложение. В данном случае хакеры выбрали файл образа диска .iso, переименованный так, чтобы он выглядел как файл .doc MS Word.

Внутри файла изображения находятся всего два файла: файл справки Microsoft с именем «pss10r.chm» и файл с именем «app.exe», который является начальной полезной нагрузкой Vidar. Файлы CHM — это файлы справки Microsoft, которые используются в различных законных приложениях и содержат сжатый HTML и, возможно, изображения.

Причина, по которой хакеры прибегли к использованию файлов CHM, заключается в том, что это позволяет им принудительно загружать приложение MS Help Viewer в процессе открытия файла CHM. Когда файл CHM с вредоносным ПО открывается таким образом, исполняемый файл Help Viewer вызывается автоматически и используется для загрузки начальной полезной нагрузки app.exe для Vidar.

После запуска исполняемого файла вредоносная программа получает свои зависимости и настройки со своего C&C-сервера. Как только это будет сделано, вредоносное ПО извлекает любую доступную информацию из системы, а затем передает ее обратно на сервер управления и контроля. Исследователи отметили, что ранее наблюдали подобное вложение вредоносных полезных нагрузок и даже использование файлов справки. Все это лишь еще один способ для хакеров попытаться избежать автоматического обнаружения в системе жертвы как можно дольше.