Microsoft에서 컴파일한 HTML 도움말(CHM) 파일 은 지금은 조금 드물지만 다양한 도움말 문서 등을 제공하는 데 사용됩니다. 이 악성 Vidar CHM 멀웨어는 컨테이너 역할을 하는 ISO 이미지로 이메일을 통해 배포됩니다. ISO는 “request.doc” 파일로 위장합니다.
이 request.doc ISO 파일에는 “pss10r.chm”이라는 컴파일된 Microsoft HTML 도움말(CHM)과 “app.exe”라는 실행 파일과 같은 여러 악성 파일이 있습니다. 사용자가 이러한 파일을 추출하도록 속이면 사용자의 시스템이 손상됩니다. 첫 번째 “pss10r.chm”은 실제로 일반적으로 합법적인 파일이지만 함께 제공되는 exe 파일은 Vidar입니다.
다음은 이 Vidar 캠페인에 사용된 합법적인 “pss10r.chm”과 악성 프로그램의 비교 이미지입니다.
악성 CHM의 목적은 페이로드를 성공적으로 전달하기 위해 Vidar 악성코드가 포함된 다른 파일인 app.exe를 실행하는 것입니다. 공식 블로그 에서 더 자세한 기술 정보를 찾을 수 있습니다 .
위에서 언급했듯이 Vidar는 브라우저를 포함하여 정보와 데이터를 훔치는 멀웨어입니다. 캠페인은 2월에 배운 RedLine 악성코드 캠페인과 유사합니다.
답글 남기기