サイバーセキュリティ会社TrustwaveのセキュリティチームであるSpiderLabsは、Microsoftを装ったVidarと呼ばれる新しいマルウェアキャンペーンについてWindowsユーザーに警告しました。サポートまたはヘルプファイル。したがって、疑いを持たないユーザーは簡単に被害者になる可能性があり、Vidarマルウェアは悪用された被害者に関する情報を盗む可能性があります。
MicrosoftがコンパイルしたHTMLHelp(CHM)ファイルは、現在は少し一般的ではありませんが、さまざまなヘルプドキュメントなどを提供するために使用されます。この悪意のあるVidarCHMマルウェアは、コンテナとして機能するISOイメージとして電子メールを介して配布されます。ISOは「request.doc」ファイルに偽装されています。
このrequest.docISOファイル内には、「pss10r.chm」と呼ばれるコンパイル済みMicrosoft HTMLヘルプ(CHM)と「app.exe」と呼ばれる実行可能ファイルのいくつかの悪意のあるファイルがあります。ユーザーがだまされてこれらのファイルを抽出すると、ユーザーのシステムが危険にさらされます。最初の「pss10r.chm」は実際には一般的に正当なファイルですが、付随するexeファイルはVidarです。
これは、正当な「pss10r.chm」とこのVidarキャンペーンで使用された悪意のあるものの比較画像です。
悪意のあるCHMの目的は、ペイロードを正常に配信するために、Vidarマルウェアを含む別のファイルapp.exeを起動することです。技術的な詳細については、公式ブログをご覧ください。
前述のように、Vidarは、ブラウザなどから情報やデータを盗むマルウェアです。このキャンペーンは、2月に知ったRedLineマルウェアキャンペーンに似ています。
コメントを残す