Crédit : Dreamstime
Un nouveau projet de messagerie électronique conçu pour diffuser le logiciel espion Vidar utilise une technique unique impliquant Microsoft pour assembler des fichiers d’assistance HTML, selon un article de blog publié par Trustwave.
Les fichiers d’assistance, qui utilisent le suffixe « CHM », sont emballés dans un ISO en plus du Vidar charge utile dans ce qui semble être un document Word. Si l’ennemi réussit à tromper la cible pour qu’elle extraie le faux fichier, l’exécution de l’un ou l’autre des fichiers déclenche le plan destructeur et compromet le système, a écrit Diana Lopera, scientifique de Trustwave, dans le message.
Le fichier CHM utilisé dans l’attaque est principalement une copie d’un CHM authentique, mais a ajouté du code d’application HTML – ce code supplémentaire exécute calmement l’exécutable nuisible en arrière-plan lorsque le fichier CHM est exécuté.
La saveur particulière de Vidar utilisée dans l’attaque, a noté Lopera, est la variante 50.3, et obtient ses instructions de commande et de contrôle (C&C) des comptes sur la plate-forme de réseau social open source Mastodon .
Une fois opérationnel, le logiciel malveillant télécharge les détails de configuration à partir des serveurs C&C déterminés par la page Mastodon et commence son travail : tout d’abord en recueillant les détails du système et les informations de mot de passe des navigateurs et d’autres applications, en envoyant ces informations sous forme de ZIP sur le serveur C&C, puis s’effacer, éventuellement après avoir transféré des logiciels malveillants supplémentaires sur la machine infectée.
« Ajouter un fichier malveillant à un format de fichier imprudent est l’une des techniques que nos ennemis utilisent pour éviter la détection », a composé Lopera.
Qu’est-ce que Vidar ?
Vidar a été observé pour la première fois dans la nature fin 2018, selon un rapport de cloud fournisseur de sécurité Infoblox, qui a gardé à l’esprit qu’il s’agit d’une variante de l’ancien voleur d’informations Arkei.
Il est proposé commercialement dans des forums en ligne et a la capacité de prendre un large éventail d’informations sur les utilisateurs et de données importantes à partir de systèmes informatiques infectés, comprenant des numéros de carte de crédit, des noms d’utilisateur et des mots de passe, des captures d’écran de bureau et des portefeuilles de crypto-monnaie. . Il peut même contourner certains types d’authentification à deux facteurs, en particulier en ciblant la pile Authy 2FA.
Comme toujours, de solides pratiques de sécurité des e-mails peuvent atténuer ou éliminer les menaces présentées par Vidar. doit être utilisé lors de l’ouverture d’accessoires de courrier électronique d’expéditeurs inconnus avec des lignes d’objet génériques, et la confirmation par téléphone ou personnellement doit être la toute première relocalisation en cas de doute sur la légitimité d’un tel message.
Toute l’actualité en temps réel, est sur L’Entrepreneur
