Шпион Vidar теперь прячется в файлах интерактивной справки Microsoft

Шпион Vidar теперь прячется в файлах интерактивной справки Microsoft

Шпион Vidar теперь прячется в файлах интерактивной справки Microsoft

Эксперты Trustwave SpiderLabs проанализировали заинтересовавшую их вредоносную email-кампанию, выявленную месяц назад. Ее целью являлся засев хорошо известного инфостилера Vidar, но его доставка осуществлялась новым, многоступенчатым методом, притом с использованием файла в безобидном формате .chm.

Вредонос Vidar не ассоциирован с какой-либо криминальной группой; это коммерческий продукт, который всегда можно приобрести на черном рынке. Написанный на C++ код часто обновляют, чтобы уберечь от детектирования, и распространяют в основном через спам-рассылки.

В данном случае письма злоумышленников были снабжены вредоносным вложением и использовали форму ответа на некое предыдущее послание. Получателю предлагали ознакомиться с важной информацией, которую якобы содержит прикрепленный request.doc.

Фальшивый документ на поверку оказался ISO-образом диска; в этот контейнер были помецены два файла — исполняемый app.exe и .chm (проприетарный формат файлов контекстной справки Microsoft).

 

Анализ показал, что app.exe представляет собой модуль запуска Vidar (лончер). Многие пользователи уже знают, как опасно открывать файлы в этом формате, поэтому скорее предпочли бы просмотреть с виду безвредный pss10r.chm.

На подобную реакцию и надеялись авторы атаки. Открываемая по клику HTML-страница содержит встроенную кнопку; ее нажатие вызывает перезапуск pss10r.chm — с привлечением Windows-утилиты mshta.exe. При этом встроенный в chm-файл JavaScript автоматически выполняет app.exe, и происходит загрузка первой ступени Vidar. Финальный лончер тоже скрыт в pss10r.chm.

 

Эксперты не преминули отметить, что подобная многоступенчатая схема заражения (ISO – CHM – HTML – JavaScript – EXE) способна ввести в заблуждение многие спам-фильтры, почтовые антивирусы и даже специализированные шлюзы безопасности.

После запуска Vidar (аналитикам попались семплы версии 50.3) получает адрес C2-сервера из профиля пользователя децентрализованной соцсети Mastodon, затем скачивает свои зависимости и файл конфигурации. Он также может загрузить другого зловреда, но в ходе февральской киберкампании таких дополнений замечено не было.

Имя пользователя Mastodon (даже два — на всякий случай) вшито в код инфостилера. Выбор соцсети для поиска C2 в данном случае неудивителен: если ссылка, помещенная в раздел биографии, засветится, аккаунт можно закрыть и перенести информацию в новый профиль.

Все полученные файлы вредонос помещает в папку C:\ProgramData; там же сохраняются информация о зараженной системе и данные, украденные из браузеров и других приложений. Похищенное архивируется (ZIP), а затем отсылается на отдельный сервер злоумышленников. Выполнив свои задачи, Vidar удаляет свои файлы и прочие свидетельства несанкционированного присутствия в системе.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инструмент для взлома GrayKey работает с iPhone 16, но не с iOS 18

Слитые на днях документы показали, что GrayKey, инструмент для взлома iPhone, может получить доступ и к последней модели смартфона — iPhone 16. Однако только в том случае, если он работает на не бета-версии iOS 18.

Graykey можно назвать прямым конкурентом Cellebrite. Последняя программа, например, недавно помогла взломать смартфон стрелка, ранившего Дональда Трампа.

Разработчики GrayKey и Cellebrite скупают информацию об уязвимостях нулевого дня, которые Apple ещё не успела пропатчить. Интересно, что обе компании регулярно публикуют таблицу с актуальным списком девайсов, которые можно взломать.

Изданию 404Media удалось получить часть внутренних документов Graykey, согласно которым софт может взломать всю линейку iPhone 11, а также частично модели с iPhone 12 по iPhone 16 включительно.

Таким образом, можно сделать вывод, что последние существенные аппаратные меры безопасности Apple реализовала именно в iPhone 12. Тем не менее, поскольку подробности не раскрываются, остаётся лишь гадать, что значит «частичный взлом».

Это может быть обычный доступ к незашифрованному содержимому хранилища и метаданным зашифрованного контента. Однако GrayKey не может ничего противопоставить любой из бета-версий iOS 18, о чём говорит сама таблица.

Отметим также новую функцию безопасности в iOS 18 — автоматический перезапуск iPhone, который недавно добавил головной боли полиции.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru