Вредоносный PDF подписали сертификатом малайзийского госучреждения

F-Secure обнаружила опасный объект, имеющий цифровое удостоверение на имя одного из государственных учреждений Малайзии. В процессе его изучения выяснилось, что сертификат не фальшивый - он был похищен у легитимных владельцев и использован в злонамеренных целях.


Киберпреступники и вирусописатели, как правило, занимаются воровством или подделкой таких удостоверений с целью обмануть защитные механизмы операционных систем или антивирусных программных продуктов. В то время как неподписанные образцы вызывают обоснованные подозрения у эвристических механизмов, экземпляры с сертификатом - тем более подлинным и от государственного учреждения - теоретически располагают шансом ввести охранные системы в заблуждение; следовательно, вероятность их успешного проникновения несколько выше.

В данном конкретном случае специалисты F-Secure нашли вредоносный PDF с эксплойтом; у него имелся сертификат на имя anjungnet.mardi.gov.my. MARDI - это малайзийский государственный институт исследований и развития сельского хозяйства; власти страны не вдаются в подробности, однако сообщают, что цифровое удостоверение, использованное злоумышленниками, было похищено "значительное время тому назад".

Эксплойт в PDF-файле нацелен на использование уязвимости в Adobe Reader 8. Если атака успешна, в систему проникает вредоносное программное обеспечение, загружающее дополнительные инфицированные компоненты с сервера worldnewsmagazines.org. Кстати, некоторые из них также подписаны, но уже другими сертификатами - например, на имя esupplychain.com.tw. В базы F-Secure опасный агент внесли как Trojan-Downloader:W32/Agent.DTIW. Есть в этой истории, впрочем, и положительный аспект: срок действия украденного злоумышленниками цифрового удостоверения истек еще в сентябре.

Softpedia

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Каждый 11-й россиянин столкнулся с фейками для очистки компьютера

Злоумышленники часто стараются использовать популярные темы для маскировки своих вредоносных программ. На этот раз киберпреступники усилили свои атаки на пользователей, ищущих программы для очистки компьютера и оптимизации его работы.

Атакующие стараются подсунуть пользователю программы класса scareware (или как называет конкретно этот вид «Лаборатория Касперского» — hoax system cleaners). Задача таких программ — пугать пользователя сообщениями о том, что его устройство в опасности.

О двукратном увеличении числа таких атак сообщили исследователи «Лаборатории Касперского». По их данным, в первой половине этого года почти 1,5 миллиона пользователей пытались загрузить себе эти программы.

Прошлогодний показатель за этот же период был отмечен куда меньшей цифрой — 747 тысяч попыток загрузки. Аналитики утверждают, что в России каждый 11-й пользователь столкнулся с этим видом мошеннических программ.

Основная задача злоумышленников — получить от жертвы деньги за якобы обнаруженные и устраненные проблемы с устройством. При этом проблемы всегда преувеличены, чтобы пользователь испугался и куда охотнее пошел на оплату «услуг» такой программы.

В отдельно взятых случаях эти программы могут устанавливать другой класс нежелательных приложений — адваре.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru