Οι ερευνητές ανακάλυψαν μια καμπάνια κακόβουλου λογισμικού ηλεκτρονικού ταχυδρομείου τον Φεβρουάριο του 2022 που καταδεικνύει την πολυπλοκότητα που εισάγουν οι εισβολείς στον μηχανισμό παράδοσης για να αποφύγουν τον εντοπισμό. Η νέα καμπάνια προσφέρει έναν παλιό αλλά συχνά ενημερωμένο infostealer: το Vidar.
Η αρχική προσέγγιση είναι τυπική – ένα email με κακόβουλο συνημμένο. Το συνημμένο, «request.doc», είναι ένα συγκαλυμμένο αρχείο ISO. Εάν ο στόχος μπορεί να πειστεί να κάνει κλικ στο request.doc, εκτίθενται δύο αρχεία: ένα αρχείο CHM (η αυτόνομη μορφή αρχείου βοήθειας της Microsoft) και το ‘app.exe’.
Το app.exe εκκινεί το κακόβουλο λογισμικό Vidar. Οι περισσότεροι χρήστες σήμερα θα μπορούσαν να εμπιστευτούν ότι δεν θα ανοίξουν ένα περίεργο .exe που τους παραδόθηκε μέσω email. Αλλά αυτό δεν είναι απαραίτητο για τον επιθετικό. Τα αρχεία CHM είναι γενικά πιο αναγνωρισμένα και αξιόπιστα από τους χρήστες. Εάν ανοίξει, εκτίθεται ένα φαινομενικά αβλαβές περιεχόμενο. Ωστόσο, λένε οι ερευνητές του Trustwave σε ένα συσχετισμένο ιστολόγιο, “Αυτή η HTML έχει ένα αντικείμενο κουμπιού που ενεργοποιεί αυτόματα τη σιωπηλή επανεκτέλεση του CHM “pss10r.chm” με mshta.”
Όταν εκτελείται ξανά, η JavaScript που περιλαμβάνεται στο αρχείο εκτελεί αυτόματα το αρχείο app.exe και φορτώνεται το αρχικό στάδιο του Vidar. Η τελική εκκίνηση είναι κρυμμένη στο αρχείο Βοήθειας.
Οι Infostealers είναι γρήγοροι στη λειτουργία τους. Μπαίνουν, κλέβουν δεδομένα και φεύγουν. Δεν είναι ασυνήθιστο μεταξύ των κλεφτών πληροφοριών, η τελική ενέργεια του κακόβουλου λογισμικού Vidar είναι να αφαιρέσει τα στοιχεία της παρουσίας του.
Η καμπάνια χαρακτηρίζεται από το βαθμό στον οποίο ο εισβολέας προσπαθεί να αποκρύψει τόσο την επίθεση όσο και τη δική του ταυτότητα. Το Vidar είναι άμεσα διαθέσιμο στον σκοτεινό ιστό και δεν σχετίζεται με καμία ομάδα ή θυγατρική. Έχει ρυθμιστεί να μην εκτελείται εάν είναι πιθανό να εντοπιστεί. Και αφαιρεί κάθε ίχνος του εαυτού του με την ολοκλήρωση.
Τέτοιο κακόβουλο λογισμικό ενημερώνεται συχνά για να νικήσει τα προϊόντα προστασίας από κακόβουλο λογισμικό σάρωσης υπογραφών. Ακόμα κι αν εκτελείται μια σάρωση σήμερα που θα την ανιχνεύσει, δεν σημαίνει ότι οι πληροφορίες σας δεν κλάπηκαν χθες. Δεν υπάρχει άμεσο ίχνος του κακόβουλου λογισμικού, ο συμβιβασμός ή η ταυτότητα του εισβολέα.
