13.10.2023 | Злоупотребление сертификатами используется хакерами для распространения LummaC2 и RecordBreaker |
В последнее время киберпреступники применяют новый и весьма изощрённый метод злоупотребления сертификатами для распространения вредоносного ПО. Его основная цель — кража учётных данных и другой конфиденциальной информации. А в некоторых случаях целью хакеров также может стать кража криптовалюты. Данная кампания использует отравление поисковой выдачи ( SEO poisoning ) для предоставления поисковых результатов, ведущих на вредоносные страницы и предлагающие взломанный софт.
В то время как на переднем плане сайта рекламируются нелегальные «кряки», в фоновом режиме на компьютер жертвы доставляют трояны удалённого доступа, известные как LummaC2 и RecordBreaker (он же Raccoon Stealer V2), о чем исследователи из южнокорейской ASEC сообщили в своём отчёте от 10 октября. Помимо доставки через веб-сайты с нелегальным софтом, исследователи также заметили распространение RecordBreaker через YouTube и другие вредоносные программы. Важно отметить, что вредоносное ПО использует нестандартные сертификаты, содержащие необычно длинные строки в полях «Subject Name» и «Issuer Name», что делает их невидимыми для систем Windows . Подписи включают в себя арабский, японский и прочие языки, отличные от английского, а также специальные символы.
Последний рассмотренный исследователями экземпляр вредоноса, используемый в реальных атаках, состоит из строки с вредоносным кодом, предназначенным для загрузки и выполнения команд PowerShell . «Подобные образцы последовательно распространялись с небольшими структурными изменениями более двух месяцев, что наводит на мысль о конкретном намерении, стоящем за этими действиями», — написал исследователь ASEC. Хотя такие сертификаты, вероятно, не прошли бы проверку подписи, они всё ещё могут запутать и даже обойти некоторые защитные меры. В целом, злоупотребление сертификатами уже стало в некотором роде обыденной тактикой, применяемая угрозами. LummaC2 и Raccoon Stealer хорошо известны специалистам по безопасности. После заражения они могут передавать чувствительную информацию, такую как учётные данные, сохранённые в браузере, документы, файлы криптовалютных кошельков и т. д. Исследователи из AhnLab Security настоятельно рекомендуют пользователям Windows быть осторожными при загрузке программного обеспечения из Интернета, особенно с сайтов, распространяющий нелегальное программное обеспечение. Даже если ранее вы уже пользовались этим сайтом, и он вызывает у вас доверие. |
Проверить безопасность сайта