Trong một chiến dịch lừa đảo mới đây, các chuyên gia an ninh mạng của Trustwave (Mỹ) đã phát hiện phần mềm độc hại Vidar được giấu trong các tệp trợ giúp HTML của Microsoft.
Theo Diana Lopera, chuyên gia an ninh mạng của Microsoft cho biết, việc ẩn giấu dưới các tệp Trợ giúp biên dịch HTML của Microsoft sẽ giúp cho phần mềm gián điệp này không bị phát hiện trong các chiến dịch thư rác.
Vidar được biết đến là phần mềm gián điệp trên hệ điều hành Windows và cũng là phần mềm đánh cắp thông tin sẵn có mà tội phạm mạng có thể mua. Phần mềm này có thể thu thập dữ liệu hệ điều hành và người dùng, dịch vụ trực tuyến, thông tin tài khoản tiền điện tử cũng như thông tin thẻ tín dụng.
Thông thường, phần mềm này được phát tán thông qua các chiến dịch thư rác và lừa đảo. Tuy nhiên mới đây, các nhà nghiên cứu đã phát hiện thấy phần mềm độc hại C này cũng được phân phối thông qua bộ tải từng phần PrivateLoader và bộ công cụ khai thác Fallout.
Theo Trustwave, chiến dịch email phân phối Vidar hiện chưa quá tinh vi. Các email loại này thường chứa dòng chủ đề chung và tệp đính kèm “request.doc”, thực chất là một hình ảnh đĩa .iso.
Các đuôi .iso thường chứa hai tệp: tệp Trợ giúp biên dịch HTML (CHM) của Microsoft (pss10r.chm) và tệp thực thi (app.exe).
Định dạng CHM là một tệp mở rộng trực tuyến của Microsoft để truy cập các tệp tài liệu và trợ giúp, đồng thời định dạng HTML nén có thể chứa văn bản, hình ảnh, bảng và liên kết – khi được sử dụng hợp pháp. Tuy nhiên, khi kẻ tấn công khai thác CHM, chúng có thể sử dụng định dạng để buộc Microsoft Help Viewer (hh.exe) tải các đối tượng CHM.
Khi một tệp CHM độc hại được giải nén, một đoạn mã JavaScript sẽ âm thầm chạy app.exe và khi cả hai tệp phải nằm trong cùng một thư mục, điều này có thể kích hoạt việc thực thi tải trọng Vidar.
Nhóm nghiên cứu đã thu được các mẫu Vidar được kết nối với máy chủ C