`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Malsmoke использует для атак проблемное место в верификации подписей Microsoft

6 января 2022 г., 13:35
0 
 

В эту среду Check Point Research (CPR) сообщила, что на данный момент в 111 странах обнаружено более 2100 жертв новой хакерской кампании, которая, как предполагается, стартовала в ноябре 2021 года. Большинство пострадавших сосредоточены в США, Канаде и Индии.

У CPR пока нет полной ясности относительно того, как распространяется вредоносный пакет, в который входит вполне легальное ПО Atera для удаленного управления компьютером.  После установки Atera также обнаруживается поддельный Java-установщик, который инсталлирует агент, связывающий ПК с учётной записью злоумышленников.

Вслед за этим на компьютер жертвы загружаются два файла .bat: первый отвечает за обезвреживание защиты Windows Defender, а второй используется для загрузки известного банковского трояна ZLoader. Кроме того, в папку автозагрузки добавляется скрипт для обеспечения сохранности вредоносного кода в системе, который также перезагружает ПК, чтобы применить внесённые изменения.

ZLoader может красть учётные данные пользователей, файлы cookie и конфиденциальную информацию, включая данные для входа в финансовые эккаунты, а также действовать как бэкдор и загрузчик для другого вредоносного кода.

Особый интерес представляет подписанный файл DLL, который используется для заражения машины программой ZLoader. CPR утверждает, что сам файл модифицирован так, чтобы с помощью прилагающегося кода использовать известную ошибку верификации подписей изменённых файлов PE (Portable Executable).

Хотя исправление этой уязвимости (CVE-2013-3900) было выпущено Microsoft ещё в 2013 году, вызываемые им ложные срабатывания на законных установщиках привели к тому, что в июле 2014 года данное обновление было сделано опциональным, то есть было отключено по умолчанию.

Организаторами новой кампании CPR считает хакеров MalSmoke. В пользу этого говорит сходства кодов, использование плагинов Java в качестве поддельных установщиков и сходство с записями регистрации доменов, использовавшихся этой группой для распространения вредоносного ПО Raccoon Stealer.

По словам исследователей CPR, эксплуатируемая хакерами слабость аутентификации по прежнему остаётся проблемной областью для Microsoft, и хотя они рекомендуют пользователям применить обновление Microsoft для более строгой верификации Authenticode, но предупреждают, что это может иногда блокировать законные установщики из-за «неверной» подписи.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT