มีการค้นพบแคมเปญอาชญากรรมทางอินเทอร์เน็ตใหม่ที่ใช้ไฟล์ช่วยเหลือ HTML ของ Microsoft เพื่อส่งมัลแวร์ Vidar ในทางที่ผิด
นักวิชาการด้านความปลอดภัยทางไซเบอร์ของ Trustwave รายงานว่าผู้คุกคามกำลังแจกจ่าย Vidar ผ่านแคมเปญสแปม ในนั้น ผู้โจมตีส่งอีเมลที่มีลักษณะทั่วไปบางส่วน พร้อมแนบไฟล์ "request.doc"
ไฟล์นี้ไม่ใช่ไฟล์ .doc แต่เป็นอิมเมจดิสก์ .iso ที่มีไฟล์แยกกันสองไฟล์: ไฟล์ Microsoft Compiled HTML Help (CHM) ที่มักเรียกว่า pss10r.chm และไฟล์ปฏิบัติการที่เรียกว่า app. exe
ไฟล์ CHM ที่ไม่บีบอัดจะทริกเกอร์โค้ด JavaScript ที่รันไฟล์ app.exe อย่างลับๆ ด้วยวิธีนี้ มัลแวร์ Vidar จะถูกโหลดลงในอุปกรณ์เป้าหมาย
Vidar ถูกอธิบายว่าเป็นสปายแวร์ Windows และตัวขโมยข้อมูล ซึ่งสามารถรวบรวมข้อมูลผู้ใช้และข้อมูลระบบปฏิบัติการได้ มันสามารถดึงข้อมูลประจำตัวของบัญชี cryptocurrency เช่นข้อมูลการชำระเงินเช่นรายละเอียดบัตรเครดิต
รูปแบบไฟล์ .CHM เป็นไฟล์นามสกุลออนไลน์ของ Microsoft ที่ใช้ในการเข้าถึงไฟล์วิธีใช้ รูปแบบ HTML ที่บีบอัดช่วยให้สามารถแจกจ่ายรูปภาพ ตาราง และลิงก์ได้ แต่รูปแบบนี้ยังสามารถนำไปใช้ในทางที่ผิดเพื่อโหลดวัตถุ CHM ที่ติดอาวุธได้
ในกรณีนี้ สปายแวร์ Vidar จะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ผ่าน Mastodon
ตามที่ผู้จัดจำหน่ายซอฟต์แวร์และบริการเชิงพาณิชย์ Entersoft ระบุว่า Vidar เปิดตัวในเดือนธันวาคม XNUMX และคาดว่าน่าจะมาจากรัสเซีย ข้อสรุปที่รัสเซียสร้าง Vidar นั้นมาจากข้อเท็จจริงที่ว่ามัลแวร์หยุดทำงานหากพบว่าทำงานบนเทอร์มินัลจากประเทศที่เคยเป็นสหภาพโซเวียต หรือแป้นพิมพ์มีเลย์เอาต์ของรัสเซีย
มัลแวร์นี้ตั้งชื่อตามเทพเจ้าแห่งการล้างแค้นจากเทพนิยายทางเหนือที่รู้จักกันในชื่อวิดาร์ ดูเหมือนว่าจะเป็นรูปแบบหนึ่งของมัลแวร์ Arkei
ตามปกติ วิธีที่ดีที่สุดในการป้องกันมัลแวร์เช่นนี้คือต้องระวังให้มากเมื่อดาวน์โหลดไฟล์แนบอีเมลหรือคลิกลิงก์ที่ได้รับในอีเมลจากผู้ส่งที่ไม่รู้จักหรือไม่คาดคิด
ผ่าน: ZDNet