F-Secure обнаружила вредоносное ПО, подписанное правительственным сертификатом

Специалисты антивирусной компании F-Secure сообщают об обнаружении образца вредоносного ПО, подписанного цифровым сертификатом mardi.gov.my, принадлежащим малазийскому Институту сельскохозяйственных исследований и разработок (Malaysia Agricultural Research and Development Institute). Представители правительственных структур Малайзии утверждают, что цифровой сертификат был украден некоторое время назад, а срок его действия истек в сентябре 2011 г.

Использующая сертификат троянская программа Agent.DTIW распространяется через злонамеренные PDF-файлы, использует уязвимость в Adobe Reader 8, и загружает дополнительный код с WorldNewsMagazines.org. Отдельные компоненты этого ресурса подписаны поддельным цифровым сертификатом esupplychain.com.tw.

Как отмечает технический директор F-Secure Микко Хиппонен (Mikko Hypponen), вредоносное ПО, использующее правительственные цифровые сертификаты, встречается довольно редко. Получения секретного ключа недостаточно для генерирования кода подписи, необходимо еще знать пароль, который можно узнать, например, с помощью установленного на ПК кейлоггера. Аналогичные методы уже использовались ранее, в том числе для распространения Stuxnet и Duqu.