Gmail sprider ett virus förklädd som dokument

Angripare har hittat ett nytt sätt att leverera skadlig programvara till datorer: genom att använda e-post och format som användare vanligtvis öppnar utan rädsla. Om det informerad i ett blogginlägg av Diana Lopera, Lead Cybersecurity Specialist på Trustwave.

Allt fungerar helt enkelt. Offret får ett kort e-postmeddelande som erbjuder sig att se data från den bifogade DOC-filen (som regel har den ett enkelt och relevant namn som request.doc). I själva verket, under sken av ett dokument, är en ISO-fil dold - en diskavbildning som innehåller en fil i HTMLHelp-formatet (format för sammanhangsstöd utvecklat av Microsoft) och en EXE-applikation.

HTMLHelp-filerna i sig är ofarliga, men de kan starta applikationer i samma katalog utan användarens vetskap – vilket blir extremt farligt när det kommer till virus.

Denna teknik används för att distribuera Vidar, ett skadligt program som samlar in personuppgifter från webbläsare och andra applikationer. När den väl har lanserats ansluter den till kommando- och kontrollservrar från Mastodons sociala nätverk med öppen källkod. I slutet av insamlingen av data kan den radera alla skapade filer, så att användaren inte ens vet att hans dator har blivit infekterad.

Att undvika infektion på detta sätt är ganska enkelt: öppna inte bilagor från okända avsändare (särskilt från skräppostmappen).

Eftersom schemat förlitar sig på Microsofts proprietära format är macOS-användare förmodligen säkra för nu. Detta utesluter dock inte risken för infektion med andra virus, inklusive de populära XLoader.