AnnaDavydova
Green Team
- 06.08.2016
- 113
- 755
Сертификат подписи кода позволяет разработчику приложения подписывать свою программу перед публикацией в интернете, а конечные пользователи могут проверить личность автора и убедиться, что программное обеспечение не было изменено.
Исследователи безопасности из ESET обнаружили новую вредоносную кампанию, которая использует сертификат украденного кода подписи от D-Link Corporation, для того, чтобы оно выглядело как официальное приложение.
Оказалось, что хакеры украли сертификат подписи кода, поскольку не вредоносное программное обеспечение D-Link также подписало тем же сертификатом подписи кода. ESET уведомил D-Link о подписанном вредоносном двоичном коде и о сертификате подписи кода, отозванного 3 июля 2018 года.
Вредоносная программа, подписанная украденным сертификатом подписи кода
Согласно данным ESET две вредоносные программы используют украденный сертификат, программа Plead, бэкдор, управляемый удаленно, и соответствующий компонент пароля злоумышленника.
Наряду с сертификатом D-Link, сертификат тайваньской компании по безопасности (Changing Information Technology Inc) также использовался при подписании вредоносных двоичных кодов. Сертификат Changing Information Technology Inc был отозван 4 июля 2017г.
Подписанные двоичные файлы сильно запутаны; загружается двоичный блоб с удаленного сервера, который, в свою очередь, загружает Plead бэкдор. Компонент пароля злоумышленника способен собирать сохраненные пароли из таких приложений, как Google Chrome, Microsoft Internet Explorer, Microsoft Outlook и Mozilla Firefox.
В соответствии с недавними отчетами по исследованию, существует ряд поставщиков подпольных рынков, продающих стандарт, а также сертификаты подписи с высоким уровнем доверием EV.
Источник: Hackers Signed Malware With Stolen Code Signing Certificate
