Categories: SicherheitVirus

Spyware Vidar versteckt sich in Microsoft-Hilfedateien

Die Vidar-Malware wurde bei einer neuen Phishing-Kampagne entdeckt, die Microsoft HTML-Hilfedateien missbraucht. Wie die Trustwave-Cybersecurity-Forscherin Diana Lopera erklärte, wird die Spyware in kompilierten CHM-Dateien versteckt, um in E-Mail-Spam-Kampagnen nicht entdeckt zu werden.

Vidar ist eine Windows-Spyware und ein Informationsdiebstahlprogramm, das von Cyber-Kriminellen erworben werden kann. Vidar kann Betriebssystem- und Benutzerdaten, Anmeldeinformationen für Online-Dienste und Kryptowährungen sowie Kreditkarteninformationen abfangen.

Laut Trustwave ist die E-Mail-Kampagne, die Vidar verbreitet, alles andere als raffiniert. Die Nachricht enthält eine generische Betreffzeile und einen Anhang „request.doc“, bei dem es sich in Wirklichkeit um ein .iso Disk-Image handelt.

Die .iso-Datei enthält zwei Dateien: eine Microsoft Compiled HTML Help (CHM) Datei (pss10r.chm) und eine ausführbare Datei (app.exe).

Das komprimierte HTML-Format von CHM-Dateien kann Text, Bilder, Tabellen und Links enthalten – wenn es rechtmäßig verwendet wird. Wenn Angreifer jedoch CHM ausnutzen, können sie das Format verwenden, um Microsoft Help Viewer (hh.exe) zu zwingen, CHM-Objekte zu laden.

Wenn eine bösartige CHM-Datei entpackt wird, führt ein JavaScript-Snippet unbemerkt app.exe aus, und obwohl sich beide Dateien im selben Verzeichnis befinden müssen, kann dies die Ausführung der Vidar-Nutzlast auslösen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google will Linux-Kernel besser schützen

Google erhöht die Prämien für Bug-Hunter in seinem Programm kCTF, das sich auf Zero-Day-Schwachstellen im…

3 Stunden ago

Rechenzentren schwitzen

Steigende Temperaturen und hohe Stromrechnungen bringen Rechenzentren an ihre Grenzen, erklärt Markus Grau, Principal Technology…

3 Stunden ago

FBI warnt vor Zeppelin Ransomware-Bande

Zeppelin ist ein gut organisierter Ransomware-Akteur, der zwei Wochen damit verbringt, ein Netzwerk zu kartieren,…

4 Stunden ago

Risiken durch Partner und Lieferanten

Kein Unternehmen steht allein, sondern operiert in einem Ökosystem mit Kunden, Partnern und Lieferanten. Deswegen…

4 Stunden ago

CyberGhost VPN 2022: Deutschlands fairster VPN-Anbieter? (+Exklusivdeal)

Einer der ältesten und erfahrensten VPN-Anbieter ist seit über 15 Jahren CyberGhost VPN. Wieso jener…

3 Tagen ago

Bitdefender: Schwachstelle in Device42

Wegen einer mittlerweile behobenen Schwachstelle in Device42 gibt Bitdefender eine Empfehlung zum Update auf die…

3 Tagen ago