網絡安全公司Trustwave的安全團隊SpiderLabs警告Windows用戶,一個名為Vidar的新惡意軟件活動將自己偽裝成微軟支持或幫助文件。因此,毫無戒心的用戶可能很容易成為受害者,而Vidar是一個偷竊數據的惡意軟件,可以竊取被利用者的信息。
微軟編譯的HTML幫助(CHM)文件雖然現在已經不常見,但總是會有人希望尋求“幫助”,這個惡意的Vidar CHM惡意軟件以ISO格式通過電子郵件散播,該ISO被偽裝成一個”require.doc”文件。
在這個 request.doc ISO文件中包含幾個惡意文件,一個被稱為”pss10r.chm”的微軟幫助文件(CHM)和一個被稱為”app.exe”的可執行文件。一旦用戶被騙提取這些文件,用戶的系統就會被破壞。前者即”pss10r.chm”實際上是一個一般的合法文件,但附帶的exe文件卻是臭名昭著的Vidar,Vidar是偷竊者惡意軟件,從瀏覽器等地方竊取信息和數據。該活動類似於我們在2月份了解到的RedLine惡意軟件活動。
下面是一個合法的”pss10r.chm”與這個Vitar活動中使用的惡意文件的對比圖片。
惡意CHM的目的是運行另一個文件,即包含Vidar惡意軟件的app.exe,以成功傳遞惡意軟件載荷。
你可以在官方博客文章中找到更多技術細節:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/vidar-malware-launcher-concealed-in-help-file/