Une nouvelle campagne de cybercriminalité a été découverte qui abuse des fichiers d'aide HTML de Microsoft pour diffuser des logiciels malveillants Vidar.
Les spécialistes de la cybersécurité de Trustwave ont signalé qu'un acteur malveillant distribue Vidar via une campagne de spam. Dans celui-ci, les attaquants ont envoyé un e-mail avec une apparence partiellement générique, avec le fichier joint "request.doc".
Ce fichier n'est pas un fichier .doc, mais plutôt une image disque .iso qui contient deux fichiers distincts : un fichier Microsoft Compiled HTML Help (CHM), souvent appelé pss10r.chm, et un fichier exécutable, appelé app.exe.
Le fichier CHM non compressé déclenche un morceau de code JavaScript qui exécute furtivement le fichier app.exe. De cette manière, le malware Vidar est chargé sur l'appareil cible.
Vidar est décrit comme un logiciel espion Windows et un voleur de données, capable d'agréger les données des utilisateurs et les données du système d'exploitation. Il est capable d'extraire les informations d'identification de compte de crypto-monnaie telles que les données de paiement telles que les détails de la carte de crédit.
Le format de fichier .CHM est un fichier d'extension en ligne Microsoft, utilisé pour accéder aux fichiers d'aide. Le format HTML compressé permet la diffusion d'images, de tableaux et de liens. Mais le format peut aussi être abusé pour charger des objets CHM armés.
Dans ce cas particulier, le logiciel espion Vidar se connecte au serveur de commande et de contrôle (C2) via Mastodon.
Selon le distributeur commercial de logiciels et de services Entersoft, Vidar a été introduit en décembre XNUMX et serait d'origine russe. La conclusion selon laquelle les Russes ont construit Vidar a été tirée du fait que le logiciel malveillant cesse de fonctionner s'il se rend compte qu'il s'exécute sur un terminal d'un pays de l'ex-URSS ou que le clavier a une disposition russe.
Le malware porte le nom du dieu de la vengeance de la mythologie nordique, connu sous le nom de Víðarr. Il semble être une variante du malware Arkei.
Comme d'habitude, la meilleure façon de se prémunir contre les logiciels malveillants comme celui-ci est d'être très prudent lorsque vous téléchargez des pièces jointes ou cliquez sur des liens reçus dans des e-mails d'expéditeurs inconnus ou inattendus.
Via: ZDNet