Vidarはヘルプファイルから

Vidarは情報搾取ツールです。
これそのものは新しいものではありません。
しかしその流れ込んでくる経路というのでしょうか、侵入してくるステップの巧妙化が変化してきています。
こんな感じです。

• 始まりはメール
  非常にシンプルな題名と本文のメールが送られてきます。
  添付ファイルが付いています。
  いかにもそのファイルを開いて内容を確認する必要があると思わせるメールに仕上がっています。
  フィッシングから開始されるパターンは現役です。
• 添付ファイルは1個
  添付されているのは「request.doc」という名前のファイルです。
  拡張子がdocなのでMicrosoft Wordの文書ファイルだと想像する人が多いと思います。
  しかしこのバイナリの実際の形式はISOファイルです。
  ディスクイメージをファイル化したものです。
• 「request.doc」の中身
  なかには2つのファイルが入っています。
  「pss10r.chm」と「app.exe」です。
• 「app.exe」はVidar
  なにものかわからない実行ファイルをそのまま実行する人は多くないかもしれません。
  でも「app.exe」は実行ファイルです。
• 「pss10r.chm」はヘルプファイル
  chm拡張子は、そのファイルがMicrosoft Compiled HTML Helpファイルであることを示します。
  ヘルプファイルですのでそのままダブルクリックするなどして開くことができます。
  ファイルの右クリックメニューの「プログラムから開く」で「Microsoft HTMLヘルプの実行可能ファイル」を選択して開くこともできます。
  こういった意味では普通のヘルプファイルです。
• chmファイルはHTML
  chmはヘルプファイルですがその内容の記述方式はHTMLです。
  このchmファイルの末尾の部分にはHTMLアプリケーションコード（HTA）が記述されています。
  chmを開くとこのHTAが実行されます。
• HTAはファイルを自動実行する
  このHTAが動作すると「app.exe」をサイレント起動します。

このような感じで、app.exeが実行された状態になります。
app.exeはVidarです。
Vidarは情報搾取ツールです。
起動されたら各種の仕事を行います。
配布者が実施した設定に従って情報を取り出します。
もちろん安全機構も搭載しています。
サンドボックス内での実行を検出すると動作を開始しませんし、アンチウイルスが動作していることを検出した場合にも動作を開始しません。

Vidarは動作を開始した場合、マストドンからC2の情報を取得し情報収集を開始します。
情報収集のために各種DLLをダウンロードしてきます。
Vidarはいろいろな情報を収集してzipファイルに集めます。
集めたファイルはC2に送られ、その後VidarはもってきたDLLや自分自身を含めてすべてのファイルを削除します。

マルウェアを流し込むための隠ぺいの巧妙さがどんどん深化していきます。

安心して開くことのできるファイルの種類、安心してファイルを開く方法、そういったものはあるのでしょうか。
もらったファイルを開くことをやめましょう、とかできると思えません。
どうすればいいんでしょうね。
とりあえずメールでファイルをもらうことをやめてみることから始めてみましょう、という感じでしょうか。

参考記事（外部リンク）：Vidar Malware Launcher Concealed in Help File
www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/vidar-malware-launcher-concealed-in-help-file/