Spyware Vidar Ditemukan Bersembunyi di file bantuan Microsoft CHM

Spyware Vidar Ditemukan Bersembunyi di file bantuan Microsoft CHM

NESABAMEDIA.COMMalware berbahaya dengan nama Vidar telah terdeteksi dalam sebuah kampanye phishing terbaru yang memanfaatkan file bantuan HTML Microsoft. Pekan lalu, peneliti dari keamanan siber Trustwave, Diana Lopera mengatakan bahwa spyware itu ditemukan dalam file Microsoft Compiled HTML Help (CHM) untuk menghindari deteksi di kampanye email spam

Vidar adalah spyware Windows dan pencuri informasi yang biasanya diperjual-belikan oleh para pelaku kriminal siber. Vidar bisa memanen data sistem operasi dan pengguna, layanan online dan akun kripto serta informasi kartu kredit. 

Biasanya spyware ini seringkali dikirimkan melalui kampanye phising dan spam, namun peneliti rupanya juga menemukan spyware berbasis C++ ini dikirimkan melalui dropper PrivateLoader dan alat eksploitasi Fallout. 

Menurut informasi yang disampaikan Trustwave, kampanye email yang mengirimkan Vidar terlihat sangat tradisional. Email tersebut berisi baris subjek umum dan sebuah lampiran file dengan nama request.doc, yang pada dasarnya adalah sebuah file .iso. File .iso itu berisi dua file, yakni sebuah file CHM pss10r.chm dan file exe bernama app.exe. 

Format CHM adalah file ekstensi online Microsoft untuk mengakses dokumentasi dan file bantuan, dan file ini biasanya berisi teks, gambar, tabel dan tautan. Namun ketika peretas mengeksploitasi file CHM ini, mereka bisa menggunakan format tersebut untuk memaksa Microsoft Help Viewer (hh.exe) untuk membuat objek CHM.

Ketika sebuah file CHM berbahaya dikemas, sebuah snippet JavaScript secara diam-diam akan menjalankan app.exe, dan kedua file tersebut akan ditempatkan pada direktori yang sama, untuk memicu eksekusi dari pemuatan Vidar. 

Sampel Vidar yang didapatkan tim peneliti itu terhubung dengan server Command and Control (C2) melalui Mastodon, yakni sebuah sistem jaringan sosial open source multi platform. Vidar akan mencari profil tertentu dan alamat C2 diambil dari bagian bio profil korban. 

Ini akan memungkinkan Vidar untuk mengatur konfigurasi dan mulai bekerja untuk mengumpulkan data pengguna. Selain itu, Vidar juga akan mengunduh dan menjalankan muatan malware lain yang dibutuhkan pelaku peretasan. 

Karena malware ini dikirimkan melalui metode phising menggunakan email, maka cara terbaik untuk menghindarinya adalah dengan berhati-hati dalam membuka email dari pihak yang tidak dikenal, terlebih ketika mengunduh file yang dilampirkan di dalam email. 

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
Send this to a friend