Хакеры подписали вредоносное ПО краденым сертификатом подписи кода от Tech- компаний

Сертификат подписи кода позволяет разработчику приложения подписывать свою программу перед публикацией в интернете, а конечные пользователи могут проверить личность автора и убедиться, что программное обеспечение не было изменено.

Исследователи безопасности из ESET обнаружили новую вредоносную кампанию, которая использует сертификат украденного кода подписи от D-Link Corporation, для того, чтобы оно выглядело как официальное приложение.

Оказалось, что хакеры украли сертификат подписи кода, поскольку не вредоносное программное обеспечение D-Link также подписало тем же сертификатом подписи кода. ESET уведомил D-Link о подписанном вредоносном двоичном коде и о сертификате подписи кода, отозванного 3 июля 2018 года.

Вредоносная программа, подписанная украденным сертификатом подписи кода

Согласно данным ESET две вредоносные программы используют украденный сертификат, программа Plead, бэкдор, управляемый удаленно, и соответствующий компонент пароля злоумышленника.

Наряду с сертификатом D-Link, сертификат тайваньской компании по безопасности (Changing Information Technology Inc) также использовался при подписании вредоносных двоичных кодов. Сертификат Changing Information Technology Inc был отозван 4 июля 2017г.

Подписанные двоичные файлы сильно запутаны; загружается двоичный блоб с удаленного сервера, который, в свою очередь, загружает Plead бэкдор. Компонент пароля злоумышленника способен собирать сохраненные пароли из таких приложений, как Google Chrome, Microsoft Internet Explorer, Microsoft Outlook и Mozilla Firefox.

В соответствии с недавними отчетами по исследованию, существует ряд поставщиков подпольных рынков, продающих стандарт, а также сертификаты подписи с высоким уровнем доверием EV.

Источник: Hackers Signed Malware With Stolen Code Signing Certificate