Шпион Vidar теперь прячется в файлах интерактивной справки Microsoft

Татьяна Никитина 25 Марта 2022 - 15:54

Домашние пользователи

...

Эксперты Trustwave SpiderLabs проанализировали заинтересовавшую их вредоносную email-кампанию, выявленную месяц назад. Ее целью являлся засев хорошо известного инфостилера Vidar, но его доставка осуществлялась новым, многоступенчатым методом, притом с использованием файла в безобидном формате .chm.

Вредонос Vidar не ассоциирован с какой-либо криминальной группой; это коммерческий продукт, который всегда можно приобрести на черном рынке. Написанный на C++ код часто обновляют, чтобы уберечь от детектирования, и распространяют в основном через спам-рассылки.

В данном случае письма злоумышленников были снабжены вредоносным вложением и использовали форму ответа на некое предыдущее послание. Получателю предлагали ознакомиться с важной информацией, которую якобы содержит прикрепленный request.doc.

Фальшивый документ на поверку оказался ISO-образом диска; в этот контейнер были помецены два файла — исполняемый app.exe и .chm (проприетарный формат файлов контекстной справки Microsoft).

Анализ показал, что app.exe представляет собой модуль запуска Vidar (лончер). Многие пользователи уже знают, как опасно открывать файлы в этом формате, поэтому скорее предпочли бы просмотреть с виду безвредный pss10r.chm.

На подобную реакцию и надеялись авторы атаки. Открываемая по клику HTML-страница содержит встроенную кнопку; ее нажатие вызывает перезапуск pss10r.chm — с привлечением Windows-утилиты mshta.exe. При этом встроенный в chm-файл JavaScript автоматически выполняет app.exe, и происходит загрузка первой ступени Vidar. Финальный лончер тоже скрыт в pss10r.chm.

Эксперты не преминули отметить, что подобная многоступенчатая схема заражения (ISO – CHM – HTML – JavaScript – EXE) способна ввести в заблуждение многие спам-фильтры, почтовые антивирусы и даже специализированные шлюзы безопасности.

После запуска Vidar (аналитикам попались семплы версии 50.3) получает адрес C2-сервера из профиля пользователя децентрализованной соцсети Mastodon, затем скачивает свои зависимости и файл конфигурации. Он также может загрузить другого зловреда, но в ходе февральской киберкампании таких дополнений замечено не было.

Имя пользователя Mastodon (даже два — на всякий случай) вшито в код инфостилера. Выбор соцсети для поиска C2 в данном случае неудивителен: если ссылка, помещенная в раздел биографии, засветится, аккаунт можно закрыть и перенести информацию в новый профиль.

Все полученные файлы вредонос помещает в папку C:\ProgramData; там же сохраняются информация о зараженной системе и данные, украденные из браузеров и других приложений. Похищенное архивируется (ZIP), а затем отсылается на отдельный сервер злоумышленников. Выполнив свои задачи, Vidar удаляет свои файлы и прочие свидетельства несанкционированного присутствия в системе.

Следующая главная новость »

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »

Екатерина Быстрова 25 Декабря 2025 - 08:41

Windows Домашние пользователи Корпорации Защита персональных данных Microsoft

BitLocker в Windows 11 ускорили на уровне железа и CPU

Microsoft начала внедрять аппаратное ускорение BitLocker в Windows 11 — решение, которое должно одновременно подтянуть производительность и повысить уровень защиты данных. Напомним, BitLocker — это встроенный в Windows механизм полного шифрования диска.

Обычно он работает так: ключи хранятся в TPM, а все криптографические операции выполняются на уровне процессора.

Раньше этого было достаточно, но с ростом производительности NVMe-накопителей шифрование всё чаще стало заметно «отъедать» ресурсы — особенно в играх, при монтаже видео и в других тяжёлых сценариях.

Теперь Microsoft решила переложить основную нагрузку с CPU на железо. В новой версии BitLocker массовые криптографические операции могут выполняться напрямую на компонентах SoC (System-on-a-Chip) — через аппаратные модули безопасности (HSM) и доверенные среды выполнения (TEE). В результате снижается нагрузка на процессор и ускоряется работа системы в целом.

По данным Microsoft, при аппаратном ускорении BitLocker потребляет примерно на 70% меньше CPU-циклов на операцию ввода-вывода по сравнению с программным вариантом. Конкретные цифры, конечно, зависят от железа, но разница заметная.

Есть и бонус по безопасности. Ключи шифрования теперь лучше изолированы от процессора и оперативной памяти, что снижает риски атак на CPU и память. В Microsoft прямо говорят, что в перспективе это позволит полностью убрать BitLocker-ключи из зоны доступа CPU и RAM, оставив их под защитой специализированного «железа» и TPM.

Аппаратно ускоренный BitLocker включается автоматически — при условии, что система его поддерживает. Речь идёт о Windows 11 версии 24H2 (с установленными сентябрьскими обновлениями) и Windows 11 25H2, NVMe-накопителе и процессоре с поддержкой криптографического оффлоада. По умолчанию используется алгоритм XTS-AES-256.

Первыми поддержку получат корпоративные системы Intel vPro на процессорах Intel Core Ultra Series 3 (Panther Lake). В дальнейшем Microsoft обещает добавить и другие SoC-платформы.

Проверить, какой режим BitLocker используется на конкретном устройстве, можно командой manage-bde -status — в параметре Encryption Method будет указано, используется ли аппаратное ускорение.

При этом BitLocker всё ещё может откатиться к программному режиму. Это происходит, если вручную заданы неподдерживаемые алгоритмы или размеры ключей, если так требуют корпоративные политики, либо если включён FIPS-режим, а платформа не поддерживает сертифицированный криптооффлоад.

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »