Los archivos de ayuda HTML (CHM) compilados por Microsoft , aunque ahora son poco comunes, se utilizan para proporcionar varios documentos de ayuda y similares. Este malware malicioso Vidar CHM se distribuye por correo electrónico como una imagen ISO que actúa como contenedor. El ISO está disfrazado como un archivo «request.doc».
Dentro de este archivo ISO request.doc, hay varios archivos maliciosos, un Microsoft HTML Help (CHM) compilado denominado «pss10r.chm» y un archivo ejecutable denominado «app.exe». Una vez que se engaña al usuario para que extraiga estos archivos, el sistema del usuario se ve comprometido. El primero, «pss10r.chm», es en realidad un archivo legítimo en general, pero el archivo exe que lo acompaña es Vidar.
Aquí hay una imagen de comparación del «pss10r.chm» legítimo y el malicioso utilizado en esta campaña de Vidar:
El propósito del CHM malicioso es lanzar otro archivo, app.exe, que contiene el malware Vidar, para entregar con éxito la carga útil. Puedes encontrar más detalles técnicos en el blog oficial .
Como se mencionó anteriormente, Vidar es un malware que roba información y datos, incluso de los navegadores. La campaña es similar a la campaña de malware RedLine de la que nos enteramos en febrero.
Deja una respuesta