Vidar kötü amaçlı yazılımını dağıtmak için Microsoft HTML yardım dosyalarını kötüye kullanan yeni bir siber suç kampanyası keşfedildi.
Trustwave’den siber güvenlik araştırmacıları, bir e-posta spam kampanyası aracılığıyla Vidar’ı dağıtan bir tehdit aktörü bildirdi. İçinde saldırganlar, “request.doc” ek dosyasıyla nispeten genel görünümlü bir e-posta gönderir.
Bu dosya bir .doc dosyası değil, bunun yerine iki ayrı dosya taşıyan bir .iso disk görüntüsüdür: genellikle pss10r.chm başlıklı bir Microsoft Derlenmiş HTML Yardım dosyası (CHM) ve app.exe başlıklı yürütülebilir bir dosya.
Paketlenmemiş CHM dosyası, app.exe dosyasını sessizce çalıştıran bir JavaScript pasajını tetikler. Bu şekilde, Vidar kötü amaçlı yazılımı hedef uç noktaya yüklenir.
Vidar, hem kullanıcı verilerini hem de işletim sistemindeki verileri toplama yeteneğine sahip bir Windows casus yazılımı ve bilgi hırsızı olarak tanımlanır. Kredi kartı detayları gibi ödeme verilerinin yanı sıra kripto para hesabı kimlik bilgilerini de çekebilir.
.CHM dosya biçimi, yardım dosyalarına erişmek için kullanılan bir Microsoft çevrimiçi uzantı dosyasıdır. Sıkıştırılmış HTML formatı, resimlerin, tabloların ve bağlantıların dağıtımına izin verir. Ancak biçim, silahlı CHM nesnelerini yüklemek için de kötüye kullanılabilir.
Bu özel durumda, Vidar casus yazılımı Mastodon aracılığıyla komuta ve kontrol (C2) sunucusuna bağlanır.
İş yazılımı ve hizmet sağlayıcısı Entersoft’a göre, Vidar Aralık 2018’de tanıtıldı ve iddiaya göre Rus kökenli. Rusların Vidar’ı inşa ettiği sonucu, kötü amaçlı yazılımın eski bir SSCB ülkesinden bir uç noktada çalıştığını veya klavyenin Rus düzenine sahip olduğunu fark etmesi durumunda çalışmayı durdurmasından alındı.
Kötü amaçlı yazılım, Víðarr olarak bilinen İskandinav mitolojisindeki İntikam Tanrısı’nın adını almıştır. Arkei kötü amaçlı yazılımının bir çeşidi gibi görünüyor.
Her zamanki gibi, bunun gibi kötü amaçlı yazılımlara karşı korunmanın en iyi yolu, e-postalardaki ekleri indirirken veya bilinmeyen veya beklenmedik göndericilerden gelen e-postalarda alınan bağlantılara tıklarken çok dikkatli olmaktır.
Üzerinden: ZDNet
