Des spécialistes ont découvert une campagne de phishing cachant le logiciel espion Vidar dans un fichier d’aide Microsoft HTML.

Les cybercriminels sont souvent très imaginatifs et changent leurs méthodes d’attaque. Un dernier exemple consiste à cacher des logiciels malveillants – dans ce cas Vidar – dans un fichier d’aide HTML compilé par Microsoft (Compiled HTML ou CHM). Il s’agit d’un fichier d’aide en ligne couramment utilisé pour la documentation du logiciel. La découverte a été faite par des experts de Trustwave et rapportée dans un article de blog. Ce fichier, qui utilise le suffixe « CHM », est empaqueté dans une image ISO (sous le couvert d’un .doc) contenant la charge utile Vidar. Si l’attaquant parvient à convaincre sa cible d’extraire le faux document, lorsque le fichier est exécuté, le logiciel malveillant est lancé et le système est compromis, explique Diana Lopera, chercheuse chez Trustwave.

Le fichier CHM utilisé dans l’attaque est en grande partie une copie d’un CHM légitime, mais a ajouté un code d’application HTML : ce code supplémentaire active silencieusement le logiciel malveillant en arrière-plan. L’expert a déclaré que la version particulière de Vidar utilisée dans l’attaque est la version 50.3 et qu’elle reçoit ses instructions des serveurs C&C (command and control) du réseau social Mastodon. Une fois activé, le logiciel malveillant télécharge les informations de configuration à partir des serveurs C&C identifiés par la page Mastodon et commence son travail : il collecte d’abord les informations système et les mots de passe des navigateurs et autres applications, puis renvoie ces informations sous forme de fichier ZIP au serveur C&C. puis se supprime, peut-être après avoir attiré d’autres logiciels malveillants sur la machine infectée. « Ajouter un fichier malveillant à un format de fichier sans méfiance est l’une des astuces utilisées par les attaquants pour éviter la détection », écrit Diane Lopera.

À Lire  Prêt étudiant : quelles solutions pour les mineurs ?

Vidar, un spécialiste du vol de données

Vidar a été repéré pour la première fois fin 2018, selon un rapport du spécialiste de la sécurité cloud Infoblox. Ce serait une variante d’Arkei, l’infostealer bien connu, c’est-à-dire un voleur de données. Vidar est vendu sur des forums et a la capacité de voler diverses données telles que des numéros de carte de crédit, des noms d’utilisateur et des mots de passe, des captures d’écran de bureau et des portefeuilles cryptographiques. Il peut également contourner certains types d’authentification à deux facteurs, ciblant spécifiquement la pile Authy 2FA.

Comme toujours, de bonnes pratiques de sécurité des e-mails peuvent atténuer ou éliminer les risques posés par Vidar ; une extrême prudence doit être exercée lors de l’ouverture de pièces jointes provenant d’expéditeurs inconnus avec des lignes d’objet génériques, et la vérification par téléphone ou en personne doit être la première étape. doute quant à la légitimité de ce message.

Une erreur dans l’article ? Suggérer un correctif