Un dangereux malware Windows se cache dans les fichiers d’aide de Microsoft

Gare à cette nouvelle campagne de diffusion du malware Vidar. Le logiciel malveillant se cache désormais dans les fichiers ayant pour extension .CHM. Il s'agit de fichiers d'aide de Microsoft que l'on trouve dans la plupart des applications et services Windows.

Les experts en sécurité de Trustwave tirent le signal d'alarme : une nouvelle vague de diffusion de Vidar, un malware bien connu et particulièrement pernicieux, est en cours. Mais plutôt que de se dissimuler dans un exécutable, le malware se cache cette fois dans un fichier d'aide de Microsoft.

Le malware se propage via un classique spam que vous recevez dans votre boîte mail. Le message contient une pièce jointe, que l'expéditeur vous encourage à ouvrir par ces mots : “Cette information importante vous est destinée. Merci de regarder la pièce jointe à cet email”. Et c'est là que le malware entre en action.

A lire aussi : Windows 10 – attention, cette faille majeure dans Microsoft Defender permet d'installer des malwares incognito

Comment un simple fichier CHM dissimule l'un des pires malwares du moment

Pour encore mieux se dissimuler aux yeux de ses victimes, le logiciel malveillant se cache dans un fichier .DOC nommé “REQUEST.DOC”. Mais ne vous fiez pas à son extension, il s'agit en réalité d'un fichier .ISO. A l'intérieur, on y découvre un fichier HTLM compilé au format CHM, généralement baptisé “PSS10R.CHM”. Et toujours au sein de l'ISO se trouve un exécutable nommé “APP.EXE”.

Une fois le fichier CHM ou l'exécutable ouvert, un petit code JavaScript se lance. Le malware Vidar peut alors commettre ses méfaits. Il crée son propre dossier dans C:\ProgramData et envoie les données collectées à un serveur. Au besoin, il est aussi capable de télécharger un autre exécutable, un malware lui aussi. Une fois son forfait commis, le malware efface ses propres traces dans le dossier ProgramData et supprime les DLL créées pour l'occasion.

Quels sont les risques du malware Vidar ?

Vidar est capable de récupérer les données du système d'exploitation, mais aussi et surtout celles de l'utilisateur. Il peut également subtiliser toutes les données de paiement (carte de crédit, service de paiement en ligne…). Et pour le clore le tout, il lui est même possible de voler les informations permettant de s'identifier à un service de cryptomonnaie.

La première apparition du malware Vidar remonte à 2018. Le logiciel serait d'origine russe. Pourquoi une telle supposition de la part des experts en sécurité qui ont découvert Vidar ? Le malware stoppe immédiatement ses exactions dès lors qu'il est installé sur une machine située en Russie, ou que le clavier du PC infecté dispose d'un clavier russe.

Comme à l'accoutumée, nous vous conseillons de ne jamais ouvrir une pièce jointe provenant d'un expéditeur inconnu. Dans un second temps, scannez cette pièce jointe à l'aide d'un antivirus, comme BitDefender, Norton Security, Avast ou Microsoft Defender.

A lire aussi : ce malware caché dans des logiciels piratés est indétectable par Windows Defender

Source : Truswave