Arquivos de ajuda da Microsoft disfarçam o malware Vidar

Os invasores estão escondendo um malware em um lugar sem muita visibilidade, esperando que as vítimas não se preocupem em olhar.
Qual é o último lugar que você esperaria encontrar malware? Em um e-mail de sua mãe? Incorporado em software em que você confia e usa todos os dias (na verdade, esse é provavelmente o primeiro lugar que você deve procurar)? Que tal em um arquivo de documentação técnica?

Qual é o último lugar que você esperaria encontrar malware? Em um e-mail de sua mãe? Incorporado em software em que você confia e usa todos os dias (na verdade, esse é provavelmente o primeiro lugar que você deve procurar)? Que tal em um arquivo de documentação técnica?

Em um relatório publicado na quinta-feira, o Trustwave SpiderLabs revelou um novo ataque de phishing projetado para plantar o infostealer Vidar nas máquinas alvo. O truque para esta campanha em particular é que ela esconde seu malware complexo por trás de um arquivo Microsoft Compiled HTML Help (.CHM), o formato de arquivo proprietário da Microsoft para documentação de ajuda salva em HTML. Em outras palavras, é o tipo de arquivo que você quase nunca olha ou sequer pensa.

Afinal, que lugar melhor para esconder algo interessante do que dentro de algo pouco visível? Isso é exatamente o que os ciberataques fizeram em uma recente onda de ataques de roubo de dados: aproveitar arquivos .CHM em um ataque aninhado que prioriza a ofuscação.

O Phishing mais recente

Alguns agentes de ameaças dedicarão um esforço enorme para elaborar diligentemente um e-mail de phishing perfeito. Eles copiam os gráficos de uma marca conhecida em uma camiseta e compõem uma mensagem perfeita, transmitindo legitimidade e profissionalismo, mas também urgência.

Não é assim aqui. Se os invasores nesse caso gastaram mais de três minutos criando seu e-mail de phishing, ele não será exibido.

A linha de assunto – Re: Not read: Coverage Inquiry 3.24.16 – dá a entender que um discurso em andamento está ocorrendo (“Re”) e que o destinatário deve agir (“Not Read”) – e é de outra forma vago o suficiente para não levantar suspeitas imediatas. O corpo do e-mail faz ainda menos:

Informações importantes para você. Veja o anexo do e-mail.

Obrigado!

O referido anexo aparece para o destinatário como “request.doc”, mas é, na verdade, um arquivo .ISO, observou a Trustwave em sua análise. ISOs são usados para copiar as informações em discos ópticos físicos em um único arquivo. No entanto, como observa o relatório, os hackers aprenderam a reutilizar arquivos ISO como contêineres de malware. De acordo com a Trustwave, houve um “aumento notável” nessa estratégia a partir de 2019. O próprio Vidar começou a ganhar popularidade na mesma época.

O malware Vidar

Qual é o último lugar que você esperaria encontrar malware? Em um e-mail de sua mãe? Incorporado em software em que você confia e usa todos os dias (na verdade, esse é provavelmente o primeiro lugar que você deve procurar)? Que tal em um arquivo de documentação técnica?

Vidar é uma espécie de infostealer multifacetado, bifurcado da família de malware Arkei. Este malware pode ser explicado como:

Vidar rouba documentos, cookies e históricos de navegadores (inclusive do Tor), moeda de uma ampla variedade de carteiras de criptomoedas, dados de software de autenticação de dois fatores e mensagens de texto, além de poder fazer capturas de tela. O pacote também oferece aos operadores de malware notificações do Telegram para logs importantes. E, por fim, os agentes de ameaças podem personalizar o ladrão por meio de perfis, o que permite especificar o tipo de dados em que estão interessados.

Nesta última campanha, o arquivo .ISO contém um arquivo .CHM chamado “pss10r.chm”. No final do código do arquivo, há um trecho de código do aplicativo HTML (HTA) contendo JavaScript que aciona secretamente um segundo arquivo, “app.exe”. Este é, na verdade, o malware Vidar.

“Um dos objetos descompactados do .CHM é o arquivo HTML ‘PSSXMicrosoftSupportServices_HP05221271.htm’ – o objeto principal que é carregado quando o CHM pss10r.chm é aberto”, de acordo com o artigo da Trustwave. “Este HTML tem um objeto de botão que aciona automaticamente a reexecução silenciosa do .CHM “pss10r.chm” com mshta.” Mshta é um binário do Windows usado para executar arquivos HTA.

Assim que o app.exe é acionado, o Vidar baixa suas dependências e configurações de um servidor de comando e controle (C2), que é recuperado do Mastodon, uma plataforma de rede social de código aberto. O malware então pesquisa dois perfis codificados e pega o endereço C2 da seção Bio.

Então, Vidar começa a roubar. Qualquer informação que suga é enviada de volta para o C2. Vidar também pode baixar malware adicional para a máquina alvo. Depois que o trabalho é concluído, o malware cobre seus rastros excluindo todos os arquivos criados.

Essa abordagem aninhada e o uso de arquivos de Ajuda despretensiosos é tudo em nome da ofuscação, é claro.

“Vimos essa técnica ser usada recentemente”, disse Karl Sigler, gerente sênior de pesquisa de segurança da Trustwave SpiderLabs, quando questionado, “e as várias tentativas de aninhar o ataque (de .ISO a .CHM a .HTA a JavaScript para execução) mostra o quanto esses atores vão tentar ofuscar e esconder seu ataque.”

Ele concluiu de forma bastante simples. “Este TTP é muito popular agora.”

Fonte: threatpost.com

Posts relacionados: Novo malware se esconde entre as exclusões do Windows Defender para evitar detecção / Atacantes abusam de recurso inocente do Windows 10 para infectar máquinas e Novo malware de Android pode obter acesso root à smartphones