Posté le mars 25, 2022 à 8:29
LES CHERCHEURS DÉTECTENT LE LOGICIEL ESPION VIDAR CACHÉ DANS LES FICHIERS D’AIDE DE MICROSOFT
Les campagnes de phishing ne semblent pas diminuer, les attaquants trouvant de nouveaux moyens de lancer leurs attaques. Un rapport récent indique que le logiciel malveillant Vidar est désormais présent dans les fichiers d’aide HTML de Microsoft.
Ce logiciel malveillant mène furtivement une nouvelle campagne de phishing. Cette campagne vise à voler des informations sensibles sur les appareils des utilisateurs.
Le logiciel espion Vidar dissimulé dans les fichiers d’aide de Microsoft
Un rapport de Diana Lopera, chercheuse en cybersécurité chez Trustwave, indique que les attaquants dissimulent le logiciel malveillant dans les fichiers d’aide CHM (Compiled HTML Help) de Microsoft pour éviter qu’il ne soit détecté. Habituellement, ce logiciel malveillant est détecté dans des campagnes de spam par e-mail.
Vidar est l’un des logiciels malveillants les plus populaires parmi les cybercriminels. Ce logiciel malveillant a été utilisé pour un large éventail d’attaques, la plus populaire étant le vol d’informations personnelles et l’espionnage des appareils des utilisateurs. Les cybercriminels ont facilement accès à ce logiciel malveillant sur le dark web.
Le logiciel malveillant Vidar fonctionne en récoltant les données de l’OS et de l’utilisateur. Il compromet également les services en ligne et peut également accéder à des informations sensibles telles que les identifiants d’un compte d’échange de crypto-monnaies et d’une carte de crédit.
Dans la plupart des cas, le logiciel malveillant Vidar est déployé sur les appareils des utilisateurs par le biais de spams et de campagnes de phishing. Cependant, cela est en train de changer, les chercheurs en cybersécurité ne disant pas que le logiciel malveillant est déployé à l’aide du dropper PrivateLoader payant et du kit d’exploitation Fallout. Le logiciel malveillant C++ est en train de se frayer un chemin vers d’autres systèmes, ce qui accroît sa diffusion et rend les internautes plus vulnérables à l’exploitation du logiciel malveillant.
Le rapport du chercheur de Trustwave indique que la campagne d’e-mail utilisée pour déployer le logiciel malveillant Vidar est d’un haut niveau de sophistication. L’e-mail contient un objet et une pièce jointe génériques. Il comporte un fichier « request.doc », qui fonctionne généralement comme une image disque .iso.
« Dans cette campagne, la pièce jointe ISO contient deux fichiers – un fichier Microsoft Compiled HTML Help (CHM) « pss10r.chm » et un exécutable « app.exe ». Une fois que l’attaquant a convaincu le destinataire d’extraire le contenu de « request.doc » et d’exécuter l’un ou l’autre, le système peut être compromis », a déclaré le chercheur.
Le format CHM est un fichier d’extension en ligne de Microsoft. Ce fichier peut être utilisé pour accéder à des documents et fournir une aide aux fichiers. Le format HTML compressé peut également contenir des images, des textes, des tableaux et des liens. Ceux-ci peuvent alors être utilisés de manière légitime.
Cependant, les cybercriminels contournent désormais le fonctionnement de ce système. Ils exploitent le format CHM pour obliger Microsoft Help Viewer (hh.exe) à charger des objets CHM. Lorsque les attaquants utilisent ce format, ils forcent Microsoft Help Viewer à exécuter les objets malveillants, et c’est ainsi que les attaquants lancent leur campagne de logiciels espions.
Lorsqu’un fichier CGM malveillant a été décompressé, un extrait de JavaScript exécute app.exe. Les deux fichiers doivent se trouver dans le même répertoire pour que l’exécution ait lieu. Cela exécutera automatiquement la charge utile de Vidar.
« Le HTA joint contient un JavaScript qui exécute silencieusement ‘app.exe’, le deuxième fichier de la pièce jointe ISO. Notez que pour que ce chargeur fonctionne, l’exécutable doit être extrait dans le même répertoire que le fichier CHM », ajoute le rapport.
Les chercheurs ont collecté des échantillons de Vidar détectés sur les appareils des utilisateurs. Ils ont constaté que les échantillons se connectaient au serveur de commande et de contrôle (C2) via Mastodon. Ce dernier est un système de réseau social multiplateforme open source. Des profils spécifiques seront recherchés sur cette plateforme, et les adresses C2 seront obtenues à partir de la section bio de ces profils d’utilisateurs.
Une fois cette opération effectuée, le logiciel malveillant pourra créer sa configuration et commencer à travailler. Son travail consiste à récolter les données personnelles des utilisateurs. D’autres études ont montré que le logiciel malveillant Vidar est également utilisé pour télécharger et exécuter d’autres charges utiles de logiciels malveillants.
Les campagnes de phishing en augmentation
Les campagnes de phishing sont devenues de plus en plus populaires l’année dernière. En 2020, il y a eu une grande évolution vers des structures de travail à domicile. Le boom des achats en ligne et du commerce électronique a également conduit de nombreuses personnes à relier leurs cartes de crédit en ligne, offrant ainsi une nouvelle opportunité aux attaquants de voler des informations sensibles.
Les campagnes de phishing nécessitent généralement une action de la part de l’utilisateur, comme l’ouverture d’un e-mail ou d’un lien. Les logiciels espions sont toutefois plus sophistiqués, car ils peuvent accéder aux informations de l’utilisateur à son insu.
La menace accrue pour les utilisateurs en ligne a entraîné la nécessité de renforcer les systèmes de cybersécurité. L’un des moyens d’y parvenir est de mettre en place des mesures de protection avancées, notamment pour les entités commerciales. Cela permet de détecter les logiciels malveillants ou les logiciels espions sur les appareils des utilisateurs. Les meilleures pratiques en matière d’internet incluent l’utilisation de mots de passe forts.
