Spyware Vidar versteckt sich in Microsoft-Hilfedateien

Die Vidar-Malware wurde bei einer neuen Phishing-Kampagne entdeckt, die Microsoft HTML-Hilfedateien missbraucht. Wie die Trustwave-Cybersecurity-Forscherin Diana Lopera erklärte, wird die Spyware in kompilierten CHM-Dateien versteckt, um in E-Mail-Spam-Kampagnen nicht entdeckt zu werden.

Vidar ist eine Windows-Spyware und ein Informationsdiebstahlprogramm, das von Cyber-Kriminellen erworben werden kann. Vidar kann Betriebssystem- und Benutzerdaten, Anmeldeinformationen für Online-Dienste und Kryptowährungen sowie Kreditkarteninformationen abfangen.

Laut Trustwave ist die E-Mail-Kampagne, die Vidar verbreitet, alles andere als raffiniert. Die Nachricht enthält eine generische Betreffzeile und einen Anhang „request.doc“, bei dem es sich in Wirklichkeit um ein .iso Disk-Image handelt.

Die .iso-Datei enthält zwei Dateien: eine Microsoft Compiled HTML Help (CHM) Datei (pss10r.chm) und eine ausführbare Datei (app.exe).

Das komprimierte HTML-Format von CHM-Dateien kann Text, Bilder, Tabellen und Links enthalten – wenn es rechtmäßig verwendet wird. Wenn Angreifer jedoch CHM ausnutzen, können sie das Format verwenden, um Microsoft Help Viewer (hh.exe) zu zwingen, CHM-Objekte zu laden.

Wenn eine bösartige CHM-Datei entpackt wird, führt ein JavaScript-Snippet unbemerkt app.exe aus, und obwohl sich beide Dateien im selben Verzeichnis befinden müssen, kann dies die Ausführung der Vidar-Nutzlast auslösen.