「Vidar」マルウェアがマイクロソフトのヘルプファイル悪用

今回は「「Vidar」マルウェアがマイクロソフトのヘルプファイル悪用」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　マルウェア「Vidar」が、MicrosoftのHTMLヘルプファイルを悪用した新たなフィッシングキャンペーンで検出されている。

　このスパイウェアは検出されるのを避けるために、「Microsoft Compiled HTML Help」（CHM）ファイルの中に隠れているという。Trustwaveの研究者Diana Lopera氏が米国時間3月24日にブログで明らかにした。

　Vidarは、サイバー犯罪者から購入できるWindows向けのスパイウェアで、情報を盗み取ることができる。例えば、OSとユーザーデータ、オンラインサービスや暗号資産（仮想通貨）のアカウント情報、クレジットカード情報などを取得できる。

　スパムやフィッシングキャンペーンを通じて展開されるのが一般的だが、研究者らはこれまでに、C++で書かれたこのマルウェアが、ペイパーインストール（pay-per-install）型の「PrivateLoader」や、エクスプロイトキットの「Fallout」を通じて配布されていることも確認した。

　Trustwaveによると、Vidarを拡散しているメールキャンペーンの手口は洗練されているとは言い難い。電子メールは一般的な件名で送られ、「request.doc」ファイルが添付されている。これは、実際にはISOディスクイメージファイルだ。

　このISOには、Microsoft Compiled HTML Help（CHM）ファイル（pss10r.chm）と、実行ファイル（app.exe）の2つが含まれている。

　CHMは、Microsoftのオンラインヘルプファイルの形式だ。ドキュメントやヘルプファイルにアクセスできる。この圧縮されたHTMLフォーマットにはテキスト、画像、表、リンクなどが入っている。実行されれば、「Microsoft Help Viewer」（hh.exe）が主要なCHMオブジェクトを読み込む。

　悪意のあるCHMファイルが展開されると、JavaScriptスニペットが隠密にapp.exeを実行する。両方のファイルが同じディレクトリーに配置されていなければならないが、これによりVidarペイロードが実行される可能性がある。

　Trustwaveのチームが入手したVidarのサンプルは、マルチプラットフォームに対応したオープンソースSNS「Mastodon」を介して、コマンド＆コントロール（C2）サーバーに接続した。そして特定のプロフィールを検索し、ユーザーのプロフィールセクションからC2アドレスを入手している。

　その後、マルウェアは自身の構成を設定し、ユーザーデータの取得に取り掛かかれるようになる。Vidarは、さらなるマルウェアのペイロードをダウンロードし、実行することも確認されたという。