SpiderLabs, das Sicherheitsteam des Cybersicherheitsunternehmens Trustwave, hat Windows-Benutzer auf eine neue Malware-Kampagne namens Vidar aufmerksam gemacht, die sich als Microsoft ausgibt. Support- oder Hilfedatei. Daher können ahnungslose Benutzer leicht Opfer werden, und Vidar-Malware kann Informationen über ausgebeutete Opfer stehlen.
Von Microsoft kompilierte HTML-Hilfedateien (CHM) werden , obwohl sie jetzt etwas ungewöhnlich sind, verwendet, um verschiedene Hilfedokumente und dergleichen bereitzustellen. Diese bösartige Vidar CHM-Malware wird per E-Mail als ISO-Image verbreitet, das als Container fungiert. Die ISO ist als „request.doc“-Datei getarnt.
In dieser ISO-Datei „request.doc“ befinden sich mehrere schädliche Dateien, eine kompilierte Microsoft HTML-Hilfe (CHM) mit dem Namen „pss10r.chm“ und eine ausführbare Datei mit dem Namen „app.exe“. Sobald der Benutzer dazu verleitet wird, diese Dateien zu extrahieren, ist das System des Benutzers kompromittiert. Die erste, „pss10r.chm“, ist im Allgemeinen eigentlich eine legitime Datei, aber die begleitende Exe-Datei ist Vidar.
Hier ist ein Vergleichsbild des legitimen „pss10r.chm“ und des bösartigen, das in dieser Vidar-Kampagne verwendet wird:
Der Zweck des bösartigen CHM besteht darin, eine weitere Datei, app.exe, zu starten, die die Vidar-Malware enthält, um die Nutzdaten erfolgreich zu übermitteln. Weitere technische Details finden Sie im offiziellen Blog .
Wie oben erwähnt, handelt es sich bei Vidar um Malware, die Informationen und Daten stiehlt, auch aus Browsern. Die Kampagne ähnelt der RedLine-Malware-Kampagne, von der wir im Februar erfahren haben.
Schreibe einen Kommentar