Symantec: Киберпреступники все чаще используют SHA-2-сертификаты

Symantec: Киберпреступники все чаще используют SHA-2-сертификаты

Недавно в своем блоге компания Symantec отметила, что в атаках вредоносных программ наблюдается опасная тенденция использования украденных сертификатов SHA-2 для обеспечения того, чтобы вредоносы выглядели легитимными.

Этот новый подход авторов вредоносных программ обусловлен тем, что SHA-1 имеет множество проблем с безопасностью. Если злоумышленникам удастся заставить систему думать, что их код легитимен, то существует неплохая вероятность того, что эта вредоносная программа не будет детектирована.

Microsoft уже объявила о прекращении поддержки файлов, подписанных SHA-1, после 1 января 2016 года. Создатели вредоносных программ ответили на этот шаг добавлением украденных сертификатов SHA-2.

Symantec привела в пример старый банковский троян Trojan.Carberp.B, который был модифицирован как раз под новый алгоритм. В случае этого трояна, атака начинается с вредоносного вложения в электронном письме, имеющем тему «ATTN 00890», это рассчитано на людей, работающих в бухгалтерии.

Во вложении содержится вредоносный макрос, в котором используется шифр ROT13 +13/-13. Макрос вызывает загрузку вредоносного подписанного бинарного файла sexit.exe с сервера, размещенного на Маврикии. Затем Sexit.exe устанавливается, завершая процесс проникновения в систему.

Однако в SHA-2 тоже могут быть свои проблемы.

Исследователи обнаружили, что sexit.exe подписывается двумя сертификатами: один SHA-1, другой SHA-2. Цель использования двух сертификатов заключается в том, чтобы избежать обнаружения операционной системой. Использование только сертификата SHA-1 может не приниматься более новыми ОС, а если оставить лишь SHA-2, то старые системы (до Windows XP SP3) не примут его.

В использовании SHA-2 для злоумышленников есть дополнительное преимущество – он может предоставить резервную копию, если первичный сертификат SHA-1 признан недействительным и аннулирован.

Развитие новых походов показывает, как создатели вредоносных программ адаптируются к новым правилам относительно сертификатов. Эксперты прогнозируют, что использование SHA-2 будет развиваться и скоро, возможно, поразит многие организации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Activision изучает вредоносную программу, ворующую пароли геймеров

Компания Activision, разрабатывающая крупные игровые проекты, изучает киберпреступную кампанию, в ходе которой злоумышленники утаскивают пароли геймеров с помощью неидентифицированного вредоноса.

Пока не очень понятно, как именно, но атакующим удаётся установить в системы игроков вредоносную программу, собирающую учётные данные от аккаунтов в системе Activision, а также криптовалютные кошельки.

Слова анонимного источника передаёт издание TechCrunch:

«Игровой гигант пытается помочь пользователям удалить вредонос с компьютеров и параллельно вычисляет затронутые кампанией аккаунты. На данный момент мало данных относительно вектора проникновения зловреда, однако есть мысль, что пострадавшие геймеры устанавливали сторонние инструменты».

В пресс-службе Activision подчеркнули, что компания в курсе кражи паролей ряда игроков. Отдельно отмечается, что серверы Activision никак не затронуты вредоносной активностью.

Судя по всему, первым на атаки указал специалист под ником Zeebler, разрабатывающий и продающий читы для Call of Duty. По его словам, вредоносная программа устанавливается на компьютеры геймеров, использующих именно инструменты читинга.

Как объясняет Zeebler, вредоносная программа маскируется под легитимный софт. Кстати, одним из пострадавших стал клиент Zeebler, после чего девелопер начал изучать кампанию и вышел на базу со скомпрометированными учётными данными.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru