Дослідники безпеки визначили нову кампанію шкідливих програм, в якій використовуються сертифікати підпису коду та інші методи, які допомагають уникнути виявлення антивірусним ПЗ у Windows. Кіберзлочинці, що стоять за цією новою кампанією, використовують дійсні сертифікати підпису коду для підпису шкідливих програм, щоб залишатися в полі спільноти безпеки. Однак, виявлено також новий завантажувач шкідливих програм – Blister. Через використання дійсних сертифікатів підпису коду та інших заходів для уникнення виявлення, кіберзлочинці проводять цю нову кампанію не менше трьох місяців.
Шкідливе ПЗ Blister
Кіберзлочинці використовують сертифікат підпису коду, виданий фірмою Sectigo, що займається цифровою ідентифікацією для компанії Blist LLC. Тому Elastic Security дав завантажувачу шкідливих програм назву Blister.
- Microsoft захопила десятки сайтів, які використовувалися групою китайських хакерів «Nickel»
- Хакери використовують файли Office для розповсюдження шкідливого ПЗ
- Шкідливе ПЗ Crackonosh розповсюджується через безкоштовні версії відомих ігор
Крім використання чинного сертифіката підпису коду, кіберзлочинці також використовували й інші методи, щоб залишатися непоміченими. Зокрема, вбудовування шкідливої програми Blister у чинну бібліотеку. Завантажувач проникає в систему під виглядом звичайних бібліотек на зразок colorui.dll і виконується через Rundll32. Опинившись у системі, він на 10 хвилин перериває роботу та переходить у режим очікування. Далі декодується корисне навантаження, яке завантажується в один з процесів і робить все інше: відкриває віддалений доступ до системи, поширюється локальною мережею, зберігає свої копії в системній папці ProgramData і маскується під rundll32.exe. На додачу шкідливий код додається до автозапуску і завантажується при кожному старті ОС Windows.
Elastic Security повідомив Sectigo про цю кампанію і попросили відкликати сертифікат підпису.