黑客試圖在 Microsoft 幫助文件中隱藏惡意軟件

Vidar 竊取惡意軟件的樣本在一個看似極不可能的地方被發現。該惡意軟件是由研究人員在所有地方的基於 Microsoft HTML 的幫助文件中發現的。

Trustwave 的一名安全研究人員發表了一篇博客文章，詳細介紹了傳播 Vidar 的活動。這個最新的活動被描述為非常初級，除了將惡意軟件粘貼到幫助文件中。

無聊的誘惑，巧妙的混淆

用於傳播 Vidar 信息竊取程序的網絡釣魚電子郵件看起來像是最小努力活動的產物。誘惑是非常基本的，電子郵件聲稱有潛在受害者的“重要信息”。與幾乎所有網絡釣魚活動一樣，電子郵件也包含惡意附件。在這種情況下，黑客選擇了 .iso 磁盤映像文件，重命名為看起來像 MS Word .doc 文件。

圖像文件中只有兩個文件——一個名為“pss10r.chm”的 Microsoft 幫助文件和一個名為“app.exe”的文件，它是 Vidar 的初始負載。 CHM 文件是 Microsoft 幫助文件，用於各種合法應用程序並包含壓縮的 HTML 和可能的圖像。

黑客使用 CHM 文件的原因是它允許他們在打開 CHM 文件的過程中強制加載 MS Help Viewer 應用程序。當以這種方式打開帶有惡意軟件的 CHM 文件時，Help Viewer 可執行文件會被靜默調用，並用於為 Vidar 加載 app.exe 初始負載。

啟動可執行文件後，惡意軟件會從其 C&C 服務器中獲取其依賴項和設置。完成此操作後，惡意軟件會從系統中抓取任何可用信息，然後將其傳輸回命令和控制服務器。研究人員指出，他們之前曾觀察到類似的惡意負載嵌套，甚至是幫助文件的使用。所有這些只是黑客試圖盡可能長時間避免對受害者係統進行自動檢測的另一種方式。