Малварь Vidar прячется в файлах справки Microsoft - «Новости» » Интернет технологии
sitename
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
 «Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
«Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
 Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
 Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
 Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Малварь Vidar прячется в файлах справки Microsoft - «Новости»

✔Малварь Vidar прячется в файлах справки Microsoft - «Новости»

27 марта 2022 762 Новости / Самоучитель CSS / Отступы и поля / HTML, CSS, JavaScript. / Преимущества стилей / Заработок / Изображения / Текст / Ссылки / Вёрстка 0

Эксперты Trustwave предупредили, что вредонос Vidar, обнаруженный в ходе изучения новой фишинговой кампании а феврале 2022 года, использует для маскировки файлы справки Microsoft.


Аналитики пишут, что малварь скрывается в файлах Microsoft Compiled HTML Help (CHM), чтобы ее спамерские кампании могли избежать обнаружения. Начало таких атак выглядит обычным: жертва получает электронное письмо с вредоносным вложением. Вложение request.doc представляет собой замаскированный файл ISO. Если жертва откроет файл request.doc, это приведет к открытию еще двух файлов, файла CHM и app.exe.



Малварь Vidar прячется в файлах справки Microsoft - «Новости»


Файл app.exe отвечает за запуск малвари Vidar. Казалось бы, в 2022 году большинство пользователей остережется открывать странный файл .exe, присланный им по электронной почте, однако хакерам это и не нужно. Дело в том, что файлы CHM пользуются куда большим доверием среди пользователей. Если открыть такой файл, кажется, что его содержимое не представляет угрозы.  Исследователи Trustwave пишут, что «в этом HTML есть объект-кнопка, который автоматически запускает повторное выполнение CHM pss10r.chm с помощью mshta». При повторном выполнении jаvascript, включенный в состав файла, автоматически выполнит app.exe, и атака перейдет к фазе загрузки Vidar. Окончательный лаунчер малвари так же скрыт в файле справки.


«Злоумышленники стремятся разделить свои атаки на несколько уровней, чтобы предотвратить обнаружение. Поскольку управление переходит от ISO к CHM, к HTML, к jаvascript и только затем к исполняемому файлу, многие средства защиты от вредоносных программ, спам-фильтры, почтовые шлюзы и так далее могут пропустить эту атаку из-за глубины вложений», — говорят исследователи.


Эта версия Vidar (50.3) связывается со своим C&C-сервером через Mastodon (свободное ПО для развертывания распределенных социальных сетей), обращаясь к разделу биографии конкретного пользователя (@kill5max). Если ссылка на управляющий сервер хакеров будет обнаружена, эта учетная запись может быть просто закрыта, а данные будут перемещены в другой аккаунт.


Vidar загружает все нужные зависимости со своего C&C-сервера и сохраняет их в C:ProgramData, затем извлекая настройки конфигурации. Также малварь может загружать на машину жертву дополнительные вредоносные программы. Хотя в ходе этой кампании подобного обнаружено не было, в прошлом Vidar уже применялся для загрузки вымогательского ПО.


Сам вредонос является инфостилером, то есть ворует данные с зараженной машины. После запуска он собирает системные данные и самую разную информацию из браузеров и других приложений. Данные сохраняются в C:ProgramData<случайное значение> и впоследствии архивируются в C:ProgramData.zip перед отправкой на сервер, находящийся под контролем злоумышленников.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты Trustwave предупредили, что вредонос Vidar, обнаруженный в ходе изучения новой фишинговой кампании а феврале 2022 года, использует для маскировки файлы справки Microsoft. Аналитики пишут, что малварь скрывается в файлах Microsoft Compiled HTML Help (CHM), чтобы ее спамерские кампании могли избежать обнаружения. Начало таких атак выглядит обычным: жертва получает электронное письмо с вредоносным вложением. Вложение request.doc представляет собой замаскированный файл ISO. Если жертва откроет файл request.doc, это приведет к открытию еще двух файлов, файла CHM и app.exe. Файл app.exe отвечает за запуск малвари Vidar. Казалось бы, в 2022 году большинство пользователей остережется открывать странный файл .exe, присланный им по электронной почте, однако хакерам это и не нужно. Дело в том, что файлы CHM пользуются куда большим доверием среди пользователей. Если открыть такой файл, кажется, что его содержимое не представляет угрозы. Исследователи Trustwave пишут, что «в этом HTML есть объект-кнопка, который автоматически запускает повторное выполнение CHM pss10r.chm с помощью mshta». При повторном выполнении jаvascript, включенный в состав файла, автоматически выполнит app.exe, и атака перейдет к фазе загрузки Vidar. Окончательный лаунчер малвари так же скрыт в файле справки. «Злоумышленники стремятся разделить свои атаки на несколько уровней, чтобы предотвратить обнаружение. Поскольку управление переходит от ISO к CHM, к HTML, к jаvascript и только затем к исполняемому файлу, многие средства защиты от вредоносных программ, спам-фильтры, почтовые шлюзы и так далее могут пропустить эту атаку из-за глубины вложений», — говорят исследователи. Эта версия Vidar (50.3) связывается со своим C
CSS
запостил(а)
Clapton
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: