Новые методы маскировки malware

Как лекарство от яда отличается лишь дозой, так и новые технологии могут использоваться и во благо, и во зло. И полет мысли хакеров регулярно преподносит «сюрпризы»…

Порой он приобретает довольно причудливые формы, иногда более прямолинеен. Два очередных примера:

F-Secure сообщает об обнаружении троянца, подписанного действительным (т.е. не поддельным и на тот момент еще не отозванным) цифровым сертификатом, который, вероятно, был похищен у одной из государственных малайзийских организаций. Распространяется он посредством PDF-файла с использованием известной уязвимости в Adobe Reader 8 и затем подгружает компоненты, часть которых также подписана с помощью еще одного сертификата. Делается это с понятной целью: большинство защитных механизмов (различные фильтры, HIPS) по умолчанию благосклонно относятся к подписанным программам, соответственно, повышаются шансы «проскочить» незамеченным.

«Лаборатория Касперского», в свою очередь, обращает внимание на использование QR-кодов для перенаправления пользователей на сайты с вредоносным ПО. Это больше касается владельцев смартфонов, которым распознать код проще, чем набрать вручную сложный URL. К счастью, в QR еще не запихивают непосредственно исполняемый код (хотя места аж 4K), но нельзя исключить, что когда-нибудь найдут лазейку и для такого трюка. Вообще это довольно опасная тенденция и судя по всему, веб-фильтрам придется научиться распознавать QR-коды, как когда-то некоторые антиспамовые системы освоили OCR (хотя на мой взгляд это было излишне).