Прикрепление вредоносного файла к файлу, формат которого не вызывает подозрений, является одним из приемов, используемых для уклонения от обнаружения. Недавно исследователи SpiderLabs наткнулись на почтовую кампанию, использующую эту технику для доставки похитителя информации - вредоносной программы Vidar.
Малварь скрывается в файлах Microsoft Compiled HTML Help (CHM)
Сообщения этой кампании есть две общие черты.
Во-первых, тело письма содержит текст, который, как обычно, направляет внимание получателя на вложение.
Во-вторых, письмо содержит только одно вложение под названием "request.doc", которое на самом деле является файлом ISO. ISO - это формат файла образа диска, который киберпреступники используют в качестве контейнера для вредоносного ПО. В данной кампании вложение ISO содержит два файла - файл Microsoft Compiled HTML Help (CHM) "pss10r.chm" и исполняемый файл "app.exe". Если злоумышленник обманом заставит получателя извлечь содержимое файла "request.doc", а затем запустит любой из них, система может быть взломана.
Indicator of compromise
SHA-1
- 4e5bc4b8cb05872721c1d4965c14d395ed0b3221
- 762df02815d9e5a4d4058081d3ff479853b1348d
- 8cb6279e76dca6dfdef1079cb336c0f2d69ac9d3
- efe3e712c667ce1d61c8613d03f7eae31782bdbf
IPv4
- 95.216.181.231
Network
- 95.216.181.231/11