Специалисты по кибербезопасности обнаружили новую кампанию, в которой используются сертификаты для подписи кода, украденные у компании D-Link Corporation. Атака была зафиксирована ESET после обнаружения нескольких подозрительных файлов. Они были подписаны действительным сертификатом D-Link Corporation. Тот же сертификат использовался в легитимном ПО D-Link.
Убедившись во вредоносности файлов, специалисты по кибербезопасности сообщили о проблеме в D-Link. Скомпрометированный цифровой сертификат был отозван компанией 3 июля 2018 года. В ходе исследования также были найдены вредоносные образцы, подписанные сертификатом другой тайваньской технологической компании – Changing Information Technology Inc., которая специализируется на продуктах для безопасности. Данный сертификат отозван 4 июля 2017 года.
С помощью украденных сертификатов распространялись два семейства вредоносных программ: бэкдор для удаленного управления зараженным компьютером Pleadи связанный с ним инструмент для сбора паролей, сохраненных в Google Chrome, Internet Explorer, Microsoft Outlook и Mozilla Firefox.
По мнению экспертов, за атакой стоит кибершпионская группа BlackTech, атакующая цели в Восточной Азии. Компрометация технологических компаний демонстрирует высокую квалификацию данной группы.
Использование украденных цифровых сертификатов – распространенный способ маскировки. Сертификаты позволяют вредоносным программам выглядеть как легитимные и обходить защиту, не вызывая подозрений. Метод реализован, в частности, в 2010 году в Stuxnet – первом кибероружии, ориентированном на критическую инфраструктуру.
Кибербезопасность сегодня касается всех и каждого. Стоит помнить, что мошенники ведут особенно активную деятельность в период проведения крупных глобальных ивентов, таких как ЧМ 2018 в России. Недавно специалисты по цифровым угрозам обнаружили новую фишинговую угрозу, связанную с популярным мессенджером WhatsApp.
Мошенники подписывают пользователей на платный сервис стоимостью 50 долларов в месяц, используя в качестве приманки товары известных спортивных брендов «в подарок». Потенциальная жертва получает в WhatsApp сообщение от пользователя из списка контактов о «бесплатных кроссовках в подарок в честь юбилея adidas». Стоит отметить, что adidas – распространенная, но не единственная приманка в этой кампании, мошенники использовали и другие бренды.