微軟編譯的 HTML 幫助 (CHM) 文件,雖然現在有點不常見,但用於提供各種幫助文檔等。這種惡意 Vidar CHM 惡意軟件通過電子郵件作為充當容器的 ISO 映像分發。ISO 偽裝成“request.doc”文件。
在這個 request.doc ISO 文件中,有幾個惡意文件,一個名為“pss10r.chm”的已編譯 Microsoft HTML 幫助 (CHM) 和一個名為“app.exe”的可執行文件。一旦用戶被誘騙提取這些文件,用戶的系統就會受到威脅。第一個,“pss10r.chm”,一般來說其實是一個合法的文件,但附帶的exe文件是Vidar。
這是合法的“pss10r.chm”和本次 Vidar 活動中使用的惡意軟件的比較圖像:
惡意 CHM 的目的是啟動另一個文件 app.exe,其中包含 Vidar 惡意軟件,以成功傳遞有效載荷。您可以在官方博客上找到更多技術細節。
如上所述,Vidar 是一種竊取信息和數據的惡意軟件,包括從瀏覽器中竊取的信息和數據。該活動類似於我們在 2 月份了解到的 RedLine 惡意軟件活動。
發佈留言