Шпион Vidar теперь прячется в файлах интерактивной справки Microsoft

Шпион Vidar теперь прячется в файлах интерактивной справки Microsoft

Шпион Vidar теперь прячется в файлах интерактивной справки Microsoft

Эксперты Trustwave SpiderLabs проанализировали заинтересовавшую их вредоносную email-кампанию, выявленную месяц назад. Ее целью являлся засев хорошо известного инфостилера Vidar, но его доставка осуществлялась новым, многоступенчатым методом, притом с использованием файла в безобидном формате .chm.

Вредонос Vidar не ассоциирован с какой-либо криминальной группой; это коммерческий продукт, который всегда можно приобрести на черном рынке. Написанный на C++ код часто обновляют, чтобы уберечь от детектирования, и распространяют в основном через спам-рассылки.

В данном случае письма злоумышленников были снабжены вредоносным вложением и использовали форму ответа на некое предыдущее послание. Получателю предлагали ознакомиться с важной информацией, которую якобы содержит прикрепленный request.doc.

Фальшивый документ на поверку оказался ISO-образом диска; в этот контейнер были помецены два файла — исполняемый app.exe и .chm (проприетарный формат файлов контекстной справки Microsoft).

 

Анализ показал, что app.exe представляет собой модуль запуска Vidar (лончер). Многие пользователи уже знают, как опасно открывать файлы в этом формате, поэтому скорее предпочли бы просмотреть с виду безвредный pss10r.chm.

На подобную реакцию и надеялись авторы атаки. Открываемая по клику HTML-страница содержит встроенную кнопку; ее нажатие вызывает перезапуск pss10r.chm — с привлечением Windows-утилиты mshta.exe. При этом встроенный в chm-файл JavaScript автоматически выполняет app.exe, и происходит загрузка первой ступени Vidar. Финальный лончер тоже скрыт в pss10r.chm.

 

Эксперты не преминули отметить, что подобная многоступенчатая схема заражения (ISO – CHM – HTML – JavaScript – EXE) способна ввести в заблуждение многие спам-фильтры, почтовые антивирусы и даже специализированные шлюзы безопасности.

После запуска Vidar (аналитикам попались семплы версии 50.3) получает адрес C2-сервера из профиля пользователя децентрализованной соцсети Mastodon, затем скачивает свои зависимости и файл конфигурации. Он также может загрузить другого зловреда, но в ходе февральской киберкампании таких дополнений замечено не было.

Имя пользователя Mastodon (даже два — на всякий случай) вшито в код инфостилера. Выбор соцсети для поиска C2 в данном случае неудивителен: если ссылка, помещенная в раздел биографии, засветится, аккаунт можно закрыть и перенести информацию в новый профиль.

Все полученные файлы вредонос помещает в папку C:\ProgramData; там же сохраняются информация о зараженной системе и данные, украденные из браузеров и других приложений. Похищенное архивируется (ZIP), а затем отсылается на отдельный сервер злоумышленников. Выполнив свои задачи, Vidar удаляет свои файлы и прочие свидетельства несанкционированного присутствия в системе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Нанософт собрался провести размещение акций до конца апреля

Разработчик САПР «Нанософт» планирует провести IPO до конца апреля. Компания рассчитывает привлечь около 3 млрд рублей. О намерении выйти на биржу сообщили РБК два источника на финансовом рынке.

По информации издания, «Нанософт» уже определила банки-организаторы размещения и нацелена на привлечение порядка 3 млрд рублей.

Партнёр фонда «Восход» Артур Мартиросов отметил, что компания может привлечь от 2 до 4 млрд рублей. Однако окончательное решение фонд примет только после согласования всех условий сделки.

Инвестиционный стратег УК «Арикапитал» Сергей Суверов считает, что именно ИТ-компании будут наиболее привлекательны для инвесторов благодаря высокой рентабельности и относительно низкой налоговой нагрузке.

Что касается сегмента инженерного ПО, то, по прогнозам Strategy Partners, он будет расти в среднем на 16% в год как минимум в течение следующих пяти лет. При этом среди российских компаний данного профиля пока ни одна не проводила IPO. Основным риском для «Нанософта», по мнению опрошенных РБК экспертов, может стать возможный отказ государства от политики импортозамещения и возвращение на рынок иностранных игроков.

Директор по работе с состоятельными клиентами «БКС Мир инвестиций» Андрей Петров выразил осторожный скепсис, сославшись на неудачное IPO JetLend. Он указал на высокую рыночную волатильность и текущую геополитическую обстановку как на сдерживающие факторы.

«Компания динамично развивается и постоянно изучает возможности для дальнейшего роста. Публичный статус, помимо привлечения средств инвесторов, откроет дополнительные перспективы для партнёрств и укрепит наш корпоративный бренд», — прокомментировал возможное размещение генеральный директор «Нанософта» Андрей Серавкин.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru