マルウェア「Vidar」が、MicrosoftのHTMLヘルプファイルを悪用した新たなフィッシングキャンペーンで検出されている。
このスパイウェアは検出されるのを避けるために、「Microsoft Compiled HTML Help」(CHM)ファイルの中に隠れているという。Trustwaveの研究者Diana Lopera氏が米国時間3月24日にブログで明らかにした。
Vidarは、サイバー犯罪者から購入できるWindows向けのスパイウェアで、情報を盗み取ることができる。例えば、OSとユーザーデータ、オンラインサービスや暗号資産(仮想通貨)のアカウント情報、クレジットカード情報などを取得できる。
スパムやフィッシングキャンペーンを通じて展開されるのが一般的だが、研究者らはこれまでに、C++で書かれたこのマルウェアが、ペイパーインストール(pay-per-install)型の「PrivateLoader」や、エクスプロイトキットの「Fallout」を通じて配布されていることも確認した。
Trustwaveによると、Vidarを拡散しているメールキャンペーンの手口は洗練されているとは言い難い。電子メールは一般的な件名で送られ、「request.doc」ファイルが添付されている。これは、実際にはISOディスクイメージファイルだ。
悪質なスパムメッセージ
提供:Trustwave
このISOには、Microsoft Compiled HTML Help(CHM)ファイル(pss10r.chm)と、実行ファイル(app.exe)の2つが含まれている。
CHMは、Microsoftのオンラインヘルプファイルの形式だ。ドキュメントやヘルプファイルにアクセスできる。この圧縮されたHTMLフォーマットにはテキスト、画像、表、リンクなどが入っている。実行されれば、「Microsoft Help Viewer」(hh.exe)が主要なCHMオブジェクトを読み込む。
悪意のあるCHMファイルが展開されると、JavaScriptスニペットが隠密にapp.exeを実行する。両方のファイルが同じディレクトリーに配置されていなければならないが、これによりVidarペイロードが実行される可能性がある。
Trustwaveのチームが入手したVidarのサンプルは、マルチプラットフォームに対応したオープンソースSNS「Mastodon」を介して、コマンド&コントロール(C2)サーバーに接続した。そして特定のプロフィールを検索し、ユーザーのプロフィールセクションからC2アドレスを入手している。
その後、マルウェアは自身の構成を設定し、ユーザーデータの取得に取り掛かかれるようになる。Vidarは、さらなるマルウェアのペイロードをダウンロードし、実行することも確認されたという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
