Le logiciel espion Vidar est désormais caché dans les fichiers d’aide de Microsoft

Le malware Vidar a été détecté dans une nouvelle campagne de phishing qui abuse des fichiers d’aide HTML de Microsoft.

ZDNet recommande

La meilleure clé de sécurité

Alors que des mots de passe robustes vous aident à sécuriser vos précieux comptes en ligne, l’authentification matérielle à deux facteurs fait passer cette sécurité au niveau supérieur.

Lire la suite

Jeudi, Trustwave Diana Lopera, chercheuse en cybersécurité, a déclaré que le logiciel espion était dissimulé dans les fichiers Microsoft Compiled HTML Help (CHM) pour éviter d’être détecté dans les campagnes de spam par e-mail.

Vidar est un logiciel espion Windows et un voleur d’informations disponible à l’achat par les cybercriminels. Vidar peut collecter des données sur le système d’exploitation et les utilisateurs, les identifiants de service en ligne et de compte de crypto-monnaie, ainsi que les informations de carte de crédit.

Bien que souvent par le biais de campagnes de spam et de phishing, les chercheurs ont également repéré le malware C++ distribué via le paiement par installation PrivateLoader compte-gouttes et le kit d’exploit Fallout.

Selon Trustwave, la campagne d’e-mails distribuant Vidar est loin d’être sophistiquée. L’e-mail contient une ligne d’objet générique et une pièce jointe, “request.doc”, qui est en fait une image disque .iso.

capture d'écran-2022-03-23-at-10-20-00.png

Trustwave

Le fichier .iso contient deux fichiers : un fichier Microsoft Compiled HTML Help (CHM) (pss10r.chm) et un exécutable (app.exe).

Le format CHM est un fichier d’extension en ligne Microsoft permettant d’accéder à la documentation et aux fichiers d’aide, et le format HTML compressé peut contenir du texte, des images, des tableaux et des liens, lorsqu’il est utilisé de manière légitime.

Cependant, lorsque des attaquants exploitent CHM, ils peuvent utiliser le format pour forcer Microsoft Help Viewer (hh.exe) à charger des objets CHM.

Lorsqu’un fichier CHM malveillant est décompressé, un extrait de code JavaScript exécute silencieusement app.exe, et bien que les deux fichiers doivent se trouver dans le même répertoire, cela peut déclencher l’exécution de la charge utile Vidar.

Les échantillons Vidar obtenus par l’équipe se connectent à leur serveur de commande et de contrôle (C2) via Mastodon, un système de réseau social open source multiplateforme. Des profils spécifiques sont recherchés et les adresses C2 sont extraites des sections bio du profil utilisateur.

Cela permet au malware de configurer sa configuration et de se mettre au travail en récoltant les données des utilisateurs. De plus, Vidar a été observé en train de télécharger et d’exécuter d’autres charges utiles de logiciels malveillants.

Voir également


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment