Авторы вредоносов активно используют краденные сертификаты для подписи

Авторы вредоносов активно используют краденные сертификаты для подписи

Авторы вредоносов активно используют краденные сертификаты для подписи

Авторы вредоносных программ активно используют украденные цифровые сертификаты для подписи кода, к такому выводу пришли специалисты Мэрилендского университета в ходе своих последних исследований.

Подписанные скомпрометированными сертификатами вредоносы имеют гораздо больше шансов обойти защитные механизмы, которые принимают наличие подписи за гарантию легитимности софта.

Многие знаменитые вредоносные программы распространялись с использованием сертификатов для подписи кода. Например, тот же Stuxnet использовал именно такую тактику. Или вредоносная версия CCleaner — то же самое.

Исследователи Мэрилендского университета обнаружили 72 скомпрометированных сертификата, проанализировав собранные Symantec данные.

«Большинство этих кейсов компрометации ранее нигде не всплывали. А две трети вредоносных программ, чьи семплы подписаны с использованием этих сертификатов, до сих пор актуальны», — говорит один из специалистов Тудор Димитрас.

«Также мы нашли 27 сертификатов, выданных киберпреступникам, которые выдаются за сертификаты от легитимных компаний вроде корейского сервиса доставки, которому вообще не требуется подписывать код, так как компания не имеет отношения к разработке софта».

По словам экспертов, злоумышленникам требуется всего лишь скопировать authenticode-сигнатуру из легитимного файла и вставить во вредоносный семпл. Это позволит обойти детектирования антивирусными программами.

«Таким способом можно обойти детекты 34 известных антивирусных продуктов. Что самое печальное — эти вредоносы встречаются в реальных атаках», — продолжает исследователь.

С полным отчетом специалистов Мэрилендского университета можно ознакомиться по этой ссылке (PDF).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Легитимное приложение NFCGate помогло похитить у россиян 40 млн рублей

Клиентов российских банков предупреждают о новой волне атак, в которых злоумышленники используют легитимное приложение NFCGate, предназначенное для работы с NFC-трафиком. С его помощью атакующие похищают данные банковских карт.

Программа маскируется под приложения госуслуг, Банка России или ФНС. За последние два месяца специалисты F.A.C.C.T. зафиксировали не менее 400 атак, ущерб оценивается в 40 млн рублей.

Средняя сумма списания с карты — около 100 тысяч рублей. Ежемесячный рост атак на пользователей Android прогнозируется на 25–30%.

Схема работает так: злоумышленники убеждают человека установить фальшивое приложение, например, для защиты банковской карты или подтверждения личности.

После этого программа запрашивает данные карты — жертву просят приложить карту к телефону или ввести ПИН-код. Как только пользователь это сделает, информация моментально отправляется преступникам. Они могут тут же вывести деньги через банкомат или сохранить данные для последующих транзакций.

Особую опасность представляет то, что такие приложения легко распространяются через мессенджеры под видом обновлений или новых полезных функций. Также злоумышленники используют трояны, чтобы незаметно установить программу на телефон жертвы.

В компании F.A.C.C.T. отмечают, что атаки с использованием NFCGate становятся всё более частыми. С момента их появления в России ущерб уже превысил 40 миллионов рублей, а эксперты прогнозируют, что число таких случаев будет расти ежемесячно.

«Атаки с использованием NFCGate стали серьёзным вызовом для банков. Злоумышленники используют социнженерию, подделывают приложения и эффективно используют уязвимости NFC. Мы ожидаем дальнейший рост таких атак, особенно в условиях массового распространения устройств с NFC-датчиками», — отметил Александр Копосов, эксперт F.A.C.C.T. Fraud Protection.

Напомним, ранее мы сообщали об атаках трояна NGate, использующего чип NFC для кражи денег жертвы. Именно этот вредонос прибегал к помощи компонента «NFCGate».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru