Киберпреступники BlackTech подписывали вредоносы сертификатом D-Link

В начале этого месяца были пойманы участники киберпреступной группы BlackTech. Отличительной особенностью этих злоумышленников было использование краденых сертификатов D-Link для подписи вредоносных программ, использованных в недавней кампании.

Специалисты подчеркивают, что этот же сертификат использовался для подписи официального программного обеспечения D-Link, следовательно, он был украден BlackTech.

Злоумышленники использовали сертификат D-Link для подписи двух вредоносных программ, одной из которых был бэкдор PLEAD, а второй — неопознанный зловред, ворующий пароли.

PLEAD уже использовался этой группой в прошлом, с помощью этого бэкдора BlackTech атаковала цели в Восточной Азии, особенно на Тайване.

Вторая вредоносная программа, ворующая пароли, не представляет собой ничего особенного — вредонос способен извлекать пароли только из четырех приложений: Internet Explorer, Google Chrome, Mozilla Firefox и Microsoft Outlook.

D-Link, естественно, приняла меры относительно своего сертификата — компания отозвала его в прошлый вторник, 3 июля. До этого сертификат использовался компанией для защиты веб-панели IP-камер.

Однако оказалось, что BlackTech пошла дальше — помимо сертификата, выпущенного D-Link, киберпреступники использовали другой сертификат, выданный тайваньской технической компанией Changing Information Technology. Поскольку он был отозван еще 4 июля 2017 года, особой пользы злоумышленникам он не принес.