Vidar Malware IOC

Прикрепление вредоносного файла к файлу, формат которого не вызывает подозрений, является одним из приемов, используемых для уклонения от обнаружения. Недавно исследователи SpiderLabs наткнулись на почтовую кампанию, использующую эту технику для доставки похитителя информации - вредоносной программы Vidar.

Малварь скрывается в файлах Microsoft Compiled HTML Help (CHM)

Vidar malware

Сообщения этой кампании есть две общие черты.

Во-первых, тело письма содержит текст, который, как обычно, направляет внимание получателя на вложение.

Во-вторых, письмо содержит только одно вложение под названием "request.doc", которое на самом деле является файлом ISO. ISO - это формат файла образа диска, который киберпреступники используют в качестве контейнера для вредоносного ПО. В данной кампании вложение ISO содержит два файла - файл Microsoft Compiled HTML Help (CHM) "pss10r.chm" и исполняемый файл "app.exe". Если злоумышленник обманом заставит получателя извлечь содержимое файла "request.doc", а затем запустит любой из них, система может быть взломана.

Indicator of compromise

SHA-1

  • 4e5bc4b8cb05872721c1d4965c14d395ed0b3221
  • 762df02815d9e5a4d4058081d3ff479853b1348d
  • 8cb6279e76dca6dfdef1079cb336c0f2d69ac9d3
  • efe3e712c667ce1d61c8613d03f7eae31782bdbf

IPv4

  • 95.216.181.231

Network

  • 95.216.181.231/11
Добавить комментарий