黑客试图在 Microsoft 帮助文件中隐藏恶意软件

Vidar 窃取恶意软件的样本在一个看似极不可能的地方被发现。该恶意软件是由研究人员在所有地方的基于 Microsoft HTML 的帮助文件中发现的。

Trustwave 的一名安全研究人员发表了一篇博客文章，详细介绍了传播 Vidar 的活动。这个最新的活动被描述为非常初级，除了将恶意软件粘贴到帮助文件中。

无聊的诱惑，巧妙的混淆

用于传播 Vidar 信息窃取程序的网络钓鱼电子邮件看起来像是最小努力活动的产物。诱惑是非常基本的，电子邮件声称有潜在受害者的“重要信息”。与几乎所有网络钓鱼活动一样，电子邮件也包含恶意附件。在这种情况下，黑客选择了 .iso 磁盘映像文件，重命名为看起来像 MS Word .doc 文件。

图像文件中只有两个文件 - 一个名为“pss10r.chm”的 Microsoft 帮助文件和一个名为“app.exe”的文件，它是 Vidar 的初始有效负载。 CHM 文件是 Microsoft 帮助文件，用于各种合法应用程序并包含压缩的 HTML 和可能的图像。

黑客使用 CHM 文件的原因是它允许他们在打开 CHM 文件的过程中强制加载 MS Help Viewer 应用程序。当以这种方式打开带有恶意软件的 CHM 文件时，Help Viewer 可执行文件会被静默调用，并用于为 Vidar 加载 app.exe 初始负载。

启动可执行文件后，恶意软件会从其 C&C 服务器中获取其依赖项和设置。完成此操作后，恶意软件会从系统中抓取任何可用信息，然后将其传输回命令和控制服务器。研究人员指出，他们之前曾观察到类似的恶意负载嵌套，甚至是帮助文件的使用。所有这些只是黑客试图尽可能长时间避免对受害者系统进行自动检测的另一种方式。