Вредоносный PDF подписали сертификатом малайзийского госучреждения

F-Secure обнаружила опасный объект, имеющий цифровое удостоверение на имя одного из государственных учреждений Малайзии. В процессе его изучения выяснилось, что сертификат не фальшивый - он был похищен у легитимных владельцев и использован в злонамеренных целях.


Киберпреступники и вирусописатели, как правило, занимаются воровством или подделкой таких удостоверений с целью обмануть защитные механизмы операционных систем или антивирусных программных продуктов. В то время как неподписанные образцы вызывают обоснованные подозрения у эвристических механизмов, экземпляры с сертификатом - тем более подлинным и от государственного учреждения - теоретически располагают шансом ввести охранные системы в заблуждение; следовательно, вероятность их успешного проникновения несколько выше.

В данном конкретном случае специалисты F-Secure нашли вредоносный PDF с эксплойтом; у него имелся сертификат на имя anjungnet.mardi.gov.my. MARDI - это малайзийский государственный институт исследований и развития сельского хозяйства; власти страны не вдаются в подробности, однако сообщают, что цифровое удостоверение, использованное злоумышленниками, было похищено "значительное время тому назад".

Эксплойт в PDF-файле нацелен на использование уязвимости в Adobe Reader 8. Если атака успешна, в систему проникает вредоносное программное обеспечение, загружающее дополнительные инфицированные компоненты с сервера worldnewsmagazines.org. Кстати, некоторые из них также подписаны, но уже другими сертификатами - например, на имя esupplychain.com.tw. В базы F-Secure опасный агент внесли как Trojan-Downloader:W32/Agent.DTIW. Есть в этой истории, впрочем, и положительный аспект: срок действия украденного злоумышленниками цифрового удостоверения истек еще в сентябре.

Softpedia

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости Meetup позволяли получить контроль над группами

Не только у Zoom есть проблемы безопасности. На днях уязвимости обнаружили в популярном сервисе для видеоконференций — Meetup. В случае успешной эксплуатации атакующий мог получить доступ к аккаунтам миллионов пользователей.

Бреши нашли специалисты компании Chechmarx. По их словам, это связка из уязвимостей XSS и CSRF, позволяющая получить права администратора на атакуемом сайте.

Другими словами, злоумышленники смогут не только отменять или модифицировать конференции, но и перенаправлять платежи через PayPal.

Благодаря существующим лазейкам атакующие могли внедрить вредоносный скрипт в посты, публикующиеся в разделе обсуждений Meetup. Сам скрипт не будет виден рядовым пользователям, однако преступники получат возможность запускать несанкционированные команды.

Хуже всего, что уязвимости можно использовать для червеобразных атак. То есть злоумышленник в теории мог скомпрометировать весь сайт, получив изначально доступ к группам и платежам.

Разработчики Meetup уже выпустили патч, поскольку команда Checkmarx заранее предупредила их о наличие бреши.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru