بدافزار Vidar که ظاهرا منشا روسی دارد، با مخفی شدن در پوشه راهنمای ویندوز، اطلاعات کاربران و دادههای پرداختی آنها را به سرقت میبرد.
کمپین جدید توزیع بدافزار Vidar که اکنون در فایلهایی با پسوند .CHM پنهان شده است، در واقع فایلهای راهنمای مایکروسافت هستند که در اکثر برنامهها و سرویسهای ویندوز یافت میشوند. کارشناسان امنیتی Trustwave با به صدا درآوردن زنگ خطر، معتقدند که موج جدیدی از یک بدافزار معروف و مخرب بهنام Vidar به جریان افتاده است. این بدافزار بهجای پنهان شدن در یک فایل اجرایی، اینبار در فایل راهنمای مایکروسافت قرار گرفته است.
این مالور از طریق هرزنامههای کلاسیکی که در صندوق ایمیل خود دریافت میکنید، پخش میشود. پیام آن حاوی پیوستی است که فرستنده شما را تشویق میکند تا از طریق خواندن پیام «این اطلاعات برای شماست. لطفا پیوست این ایمیل را ببینید»، اقدام به باز کردن فایل کرده و اینجاست که بدافزار وارد عمل میشود.
این بدافزار برای اینکه حتی بهتر خود را از چشم قربانیانش پنهان کند، در یک فایل .DOC بهنام “REQUEST.DOC” پنهان میشود. با اینحال نباید فریب پسوند آنرا خورد، این فایل در واقع یک نوع ISO است. در داخل، یک فایل HTML وجود دارد که با فرمت CHM کامپایل شده که بهطور کلی “PSS10R.CHM” نامیده میشود. در ISO نیز یک فایل اجرایی بهنام “APP.EXE” جای گرفته است.
مخفی شدن بدافزار خطرناک ویندوز در فایلهای کمکی مایکروسافت
هنگامیکه فایل CHM یا اجرایی باز شود، یک کد کوچک جاوا اسکریپت راهاندازی میشود و پس از آن، بدافزار Vidar وارد عمل خواهد شد. این مالور، پوشه خود را در آدرس C:\ProgramData ایجاد میکند و دادههای جمعآوری شده را به سرور ارسال خواهد کرد. Vidar همچنین در صورت لزوم، قادر به دانلود یک فایل اجرایی دیگر آن هم از نوع بدافزار است. پس از انجام این کار، بدافزار ردپای خود را در پوشه ProgramData پاک کرده و DLL های ایجاد شده برای اعمال مخرب خود را حذف میکند.
Vidar قادر به بازیابی اطلاعات سیستمعامل و بالاتر از همه، اطلاعات کاربران است. این بدافزار همچنین میتواند تمام دادههای پرداخت نظیر کارت اعتباری، خدمات پرداخت آنلاین و غیره را به سرقت ببرد. این مالور خطرناک حتی ممکن است اطلاعاتی را بدزدد که به او اجازه میدهد خود را در یک سرویس ارز دیجیتال مورد شناسایی قرار دهد.
اولین ظهور بدافزار Vidar به سال 2018 بازمیگردد. این مالور هنگامیکه بر روی دستگاهی واقع در روسیه نصب شود یا صفحهکلید رایانه آلوده دارای زبان روسی باشد، بلافاصله سواستفادههای خود را متوقف میکند. بنابراین میتوان نتیجه گرفت که بدافزار ویدار منشا روسی دارد.
توصیه ما این است که هرگز پیوستی را از فرستندههای ناشناس باز نکنید. سپس، در مرحله دوم آنرا با استفاده از یک آنتی ویروس مطمئن مانند Windows Defender یا Bitdefender مورد اسکن قرار دهید.