Злоумышленники нашли новый способ доставки вредоносного ПО на компьютеры: используя электронную почту и форматы, которые пользователи обычно открывают без опасений. Об этом сообщила в блог-посте Диана Лопера, ведущий специалист по кибербезопасности из компании Trustwave.
Работает всё просто. Жертва получает короткое письмо, которое предлагает посмотреть данные из прикреплённого DOC-файла (как правило, он имеет простое и релевантное название вроде request.doc). На самом деле под видом документа скрывается ISO-файл — образ диска, содержащий файл в формате HTMLHelp (формат контекстной поддержки, разработанный Microsoft) и EXE-приложение.
Сами по себе HTMLHelp-файлы безвредны, но они способны запускать приложения, находящиеся в той же директории, без ведома пользователя — что становится крайне опасным, когда речь идёт о вирусах.
Такой приём используется для распространения Vidar — вредоносной программы, собирающей личные данные из браузеров и других приложений. После запуска оно подключается к серверам управления и контроля из социальной сети с открытым исходным кодом Mastodon. По окончании сбора данных оно способно удалить все созданные файлы, так что пользователь даже не узнает, что его компьютер был заражён.
Избежать заражения таким способом довольно легко: не открывайте вложения от неизвестных отправителей (особенно из папки «Спам»).
Поскольку схема опирается на проприетарный формат Microsof, пользователи macOS пока, вероятно, в безопасности. Это, впрочем, не исключает риск заражения другими вирусами, включая популярный XLoader.
