Vidar软件现在隐藏在Microsoft帮助文件中

导读 一项新的网络活动被发现滥用MicrosoftHTML帮助文件来分发Vidar恶意软件。Trustwave的网络安全研究人员报告称，威胁行为者通过垃圾邮件活动

一项新的网络活动被发现滥用MicrosoftHTML帮助文件来分发Vidar恶意软件。Trustwave的网络安全研究人员报告称，威胁行为者通过垃圾邮件活动分发Vidar。在其中，攻击者会发送一封看起来比较普通的电子邮件，附件文件为“request.doc”。

该文件不是.doc文件，而是一个.iso磁盘映像，包含两个单独的文件：一个Microsoft编译的HTML帮助文件(CHM)，通常标题为pss10r.chm，以及一个可执行文件，标题为app.exe。

我们正在研究我们的读者如何在不同的设备上使用VPN，以便我们可以改进我们的内容并提供更好的建议。这项调查花费的时间不应超过60秒，来自英国和美国的参赛者将有机会参与抽奖，获得100英镑的亚马逊礼品卡(或等值美元)。感谢您的参与。

解压后的CHM文件会触发一个JavaScript片段，该片段会安静地运行app.exe文件。这样，Vidar恶意软件就会加载到目标端点上。

Vidar被描述为Windows软件和信息窃取者，能够收集用户数据和操作系统上的数据。它能够提取加密货币帐户凭据以及支付数据，例如信用卡详细信息。

.CHM文件格式是Microsoft在线扩展文件，用于访问帮助文件。压缩的HTML格式允许分发图像、表格和链接。但该格式也可能被滥用来加载武器化的CHM对象。

在这种特殊情况下，Vidar软件通过Mastodon连接到命令和控制(C2)服务器。

据商业软件和服务提供商Entersoft称，Vidar于2018年12月推出，据称源自俄罗斯。俄罗斯人构建Vidar的结论是，如果恶意软件意识到它在来自国家的端点上运行，或者键盘具有俄罗斯布局，它就会停止工作。

该恶意软件以北欧神话中的复仇之神命名-被称为Víðarr。它似乎是Arkei恶意软件的变种。

像往常一样，防范此类恶意软件的最佳方法是在从电子邮件下载附件或单击来自未知或意外发件人的电子邮件中收到的链接时格外小心。