یک بدافزار خطرناک روسی در ویندوز مخفی شده است

بدافزار Vidar که ظاهرا منشا روسی دارد، با مخفی شدن در پوشه راهنمای ویندوز، اطلاعات کاربران و داده‌های پرداختی آنها را به سرقت می‌برد.

کمپین جدید توزیع بدافزار Vidar که اکنون در فایل‌هایی با پسوند .CHM پنهان شده است، در واقع فایل‌های راهنمای مایکروسافت هستند که در اکثر برنامه‌ها و سرویس‌های ویندوز یافت می‌شوند. کارشناسان امنیتی Trustwave با به صدا درآوردن زنگ خطر، معتقدند که موج جدیدی از یک بدافزار معروف و مخرب به‌نام Vidar به جریان افتاده است. این بدافزار به‌جای پنهان شدن در یک فایل اجرایی، این‌بار در فایل راهنمای مایکروسافت قرار گرفته است.

این مالور از طریق هرزنامه‌های کلاسیکی که در صندوق ایمیل خود دریافت می‌کنید، پخش می‌شود. پیام آن حاوی پیوستی است که فرستنده شما را تشویق می‌کند تا از طریق خواندن پیام «این اطلاعات برای شماست. لطفا پیوست این ایمیل را ببینید»، اقدام به باز کردن فایل کرده و اینجاست که بدافزار وارد عمل می‌شود.

این بدافزار برای اینکه حتی بهتر خود را از چشم قربانیانش پنهان کند، در یک فایل .DOC به‌نام “REQUEST.DOC” پنهان می‌شود. با اینحال نباید فریب پسوند آن‌را خورد، این فایل در واقع یک نوع ISO است. در داخل، یک فایل HTML وجود دارد که با فرمت CHM کامپایل شده که به‌طور کلی “PSS10R.CHM” نامیده می‌شود. در ISO نیز یک فایل اجرایی به‌نام “APP.EXE” جای گرفته است.

مخفی شدن بدافزار خطرناک ویندوز در فایل‌های کمکی مایکروسافت
هنگامی‌که فایل CHM یا اجرایی باز شود، یک کد کوچک جاوا اسکریپت راه‌اندازی می‌شود و پس از آن، بدافزار Vidar وارد عمل خواهد شد. این مالور، پوشه خود را در آدرس C:ProgramData ایجاد می‌کند و داده‌های جمع‌آوری شده را به سرور ارسال خواهد کرد. Vidar هم‌چنین در صورت لزوم، قادر به دانلود یک فایل اجرایی دیگر آن هم از نوع بدافزار است. پس از انجام این کار، بدافزار ردپای خود را در پوشه ProgramData پاک کرده و DLL های ایجاد شده برای اعمال مخرب خود را حذف می‌کند.

Vidar قادر به بازیابی اطلاعات سیستم‌عامل و بالاتر از همه، اطلاعات کاربران است. این بدافزار هم‌چنین می‌تواند تمام داده‌های پرداخت نظیر کارت اعتباری، خدمات پرداخت آنلاین و غیره را به سرقت ببرد. این مالور خطرناک حتی ممکن است اطلاعاتی را بدزدد که به او اجازه می‌دهد خود را در یک سرویس ارز دیجیتال مورد شناسایی قرار دهد.

اولین ظهور بدافزار Vidar به سال ۲۰۱۸ بازمی‌گردد. این مالور هنگامی‌که بر روی دستگاهی واقع در روسیه نصب شود یا صفحه‌کلید رایانه آلوده دارای زبان روسی باشد، بلافاصله سواستفاده‌های خود را متوقف می‌کند. بنابراین می‌توان نتیجه گرفت که بدافزار ویدار منشا روسی دارد.

توصیه ما این است که هرگز پیوستی را از فرستنده‌های ناشناس باز نکنید. سپس، در مرحله دوم آن‌را با استفاده از یک آنتی ویروس مطمئن مانند Windows Defender یا Bitdefender مورد اسکن قرار دهید.