Symantec: Киберпреступники все чаще используют SHA-2-сертификаты

Олег Иванов 09 Октября 2017 - 07:58

...

Symantec: Киберпреступники все чаще используют SHA-2-сертификаты

Недавно в своем блоге компания Symantec отметила, что в атаках вредоносных программ наблюдается опасная тенденция использования украденных сертификатов SHA-2 для обеспечения того, чтобы вредоносы выглядели легитимными.

Этот новый подход авторов вредоносных программ обусловлен тем, что SHA-1 имеет множество проблем с безопасностью. Если злоумышленникам удастся заставить систему думать, что их код легитимен, то существует неплохая вероятность того, что эта вредоносная программа не будет детектирована.

Microsoft уже объявила о прекращении поддержки файлов, подписанных SHA-1, после 1 января 2016 года. Создатели вредоносных программ ответили на этот шаг добавлением украденных сертификатов SHA-2.

Symantec привела в пример старый банковский троян Trojan.Carberp.B, который был модифицирован как раз под новый алгоритм. В случае этого трояна, атака начинается с вредоносного вложения в электронном письме, имеющем тему «ATTN 00890», это рассчитано на людей, работающих в бухгалтерии.

Во вложении содержится вредоносный макрос, в котором используется шифр ROT13 +13/-13. Макрос вызывает загрузку вредоносного подписанного бинарного файла sexit.exe с сервера, размещенного на Маврикии. Затем Sexit.exe устанавливается, завершая процесс проникновения в систему.

Однако в SHA-2 тоже могут быть свои проблемы.

Исследователи обнаружили, что sexit.exe подписывается двумя сертификатами: один SHA-1, другой SHA-2. Цель использования двух сертификатов заключается в том, чтобы избежать обнаружения операционной системой. Использование только сертификата SHA-1 может не приниматься более новыми ОС, а если оставить лишь SHA-2, то старые системы (до Windows XP SP3) не примут его.

В использовании SHA-2 для злоумышленников есть дополнительное преимущество – он может предоставить резервную копию, если первичный сертификат SHA-1 признан недействительным и аннулирован.

Развитие новых походов показывает, как создатели вредоносных программ адаптируются к новым правилам относительно сертификатов. Эксперты прогнозируют, что использование SHA-2 будет развиваться и скоро, возможно, поразит многие организации.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 29 Октября 2025 - 15:54

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи

В мессенджерах в 10 раз выросло число фейковых аккаунтов известных людей

В России резко увеличилось количество мошеннических схем с использованием поддельных страниц известных людей. Как сообщил заместитель Председателя Правления Сбербанка Станислав Кузнецов на форуме «Диалог о фейках 3.0», с начала октября зафиксирован десятикратный рост попыток обмана через мессенджеры.

Злоумышленники создают фейковые аккаунты политиков, бизнесменов, топ-менеджеров и других публичных персон, используя их фото и настоящие имена.

Самая распространённая схема — «фейк босс», когда мошенники рассылают сообщения якобы от имени руководителя. Такие письма могут получать как знакомые и коллеги жертвы, так и совершенно посторонние люди, чья профессиональная сфера совпадает с областью деятельности поддельного «отправителя».

По словам Кузнецова, мошенники всё чаще используют нейросети и дипфейки, создавая реалистичные видео и аудиосообщения. Это делает обман особенно убедительным и усложняет его распознавание.

«Если вы получили сообщение якобы от известного лица, с которым никогда не общались, и речь идёт о деньгах или личных данных — почти наверняка это мошенники», — отметил он.

Эксперт советует внимательно проверять дату создания аккаунта и время последнего обновления имени пользователя. Эти признаки помогают вовремя выявить подделку.

Кузнецов также призвал сообщать о подозрительных профилях в службы поддержки мессенджеров, чтобы предотвратить дальнейшую активность преступников.