Le spyware Vidar se cache dans les fichiers CMH et échappe à la détection

Le spyware Vidar se cache dans les fichiers CMH et échappe à la détection

Dans une nouvelle campagne d’attaque, les cybercriminels abusent du fichier d’aide CHM de Microsoft pour cacher le Malware Vidar et échapper à la détection. Si la technique utilisée n’est pas spécialement avancée, les analystes s’accordent à dire que cette méthode est particulièrement habile.  

Mode opératoire

Les fichiers CHM (Microsoft Compiled HTML Help), propriétaires de Microsoft, se composent de pages HTML. Ces dernières possèdent deux fonctions : la mise en forme de l’aide en ligne et l’indexation des outils de navigation. Les attaquants utilisent les fichiers CHM pour échapper à la détection. Pour les équipes de sécurité, il devient difficile de repérer les emails de phishing et de prévenir une telle menace. 

Dans cette nouvelle campagne, les acteurs malveillants utilisent donc ce fichier d’aide pour déployer le Malware Vidar au lieu du classique exécutable. Néanmoins, le mode de diffusion reste le mail : un message avec une pièce jointe qui tombe dans le spam des cibles.

Le fichier attaché utilisé affiche une extension .doc mais il s’agit d’un fichier .iso contenant un fichier exécutable et un fichier HTLM compilé au format CHM. Chaque fois qu’un fichier CHM malveillant est décompressé, un extrait de code JavaScript exécute silencieusement l’application .exe, la charge utile Vidar.

Vidar, un dangereux logiciel espion

L’équipe de chercheurs de la société de sécurité Trustwave a pu analyser un échantillon du Malware Vidar, un logiciel espion et voleur de données particulièrement dangereux. Vidar crée un dossier C:\ProgramData pour collecter les données qu’il envoie ensuite à un serveur. 

Ce logiciel malveillant collecte entre autres les données de connexion aux comptes de cryptomonnaie ou encore des informations bancaires notamment des données de cartes de crédit.

Si besoin, le spyware Vidar télécharge et exécute d’autres charges utiles de Malware. Le Malware efface également toutes ses traces et supprime les fichiers DLL. Ce sont les bibliothèques dynamiques, des ressources utilisées par les applications lors de leur exécution. 

Protégez-vous des cybermenaces en installant un logiciel de protection performant choisi parmi notre top des meilleurs antivirus

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest