Ficheiros de Ajuda da Microsoft usados para distribuir malware

O Grupo de Investigação de Vulnerabilidades e Malware da CheckPoint descobriu recentemente que os ficheiros de ajuda da Microsoft (CHM) estão a ser usados actualmente pelos cibercriminosos para passar software malicioso aos utilizadores, de um modo dificilmente detectável pelos antivírus.

Oded Vanunu, responsável pelo Grupo de Investigação da Check Point refere que  «Os ficheiros CHM são normalmente usados como software documental e como ajuda tutorial. Já que o seu uso é muito comum, também é pouco provável que os utilizadores suspeitem desta ajuda online».

O Microsoft Compiled HTML Help é um formato de ajuda proprietário que consiste numa colecção de páginas HTML, assim como numa série de ferramentas de indexação e navegação. Estes ficheiros são comprimidos e instalados num formato binário com a extensão CHM (HTML compilado).

Os investigadores descobriram que os ficheiros CHM se podem utilizar para executar código malicioso num computador que funcione com Microsoft Windows Vista ou superior.

De acordo com a investigação, quando um utilizador arranca um ficheiro de ajuda da Microsoft infectado, inicia-se um pedido de descarga e execução da peça de malware.

Nas amostras capturadas, a carga maliciosa tinha o nome de PuTTY, uma ferramenta de rede muito popular que suporta protocolos SSH e Telnet, e que permite ligações remotas. Recentemente foi também descoberta uma versão maliciosa do Putty – saber mais aqui.

O Grupo de Investigação da Check Point descobriu que os cibercriminosos que estão por detrás desta técnica utilizam, para a propagação do malware, campanhas de ataque através das redes sociais e do spam.